智能体OpenClaw从1月下旬爆火之后，其安全风险也逐渐暴露。

2月23日，Meta的AI安全研究员Summer Yue在社交平台讲述了一件令其崩溃的经历：原本想让OpenClaw检查电子邮件收件箱，并建议哪些该删除或归档。但OpenClaw失控了，以极快的速度清除邮件，却无法被叫停。

Meta的AI安全研究员Summer Yue在社交平台分享自己使用OpenClaw的糟糕经历。

这不是OpenClaw第一次自作主张地超范围工作。在此之前，多位用户反馈，拥有高级别访问权限的OpenClaw，执行任务时意外地将电脑硬盘数据删得一干二净。

OpenClaw是一款由软件工程师彼得·施泰因贝格尔（Peter Steinberger）开发的一款免费开源AI自主代理工具，被描述为“真正能做事的 AI”。1月下旬，一个类似于Reddit、专为OpenClaw打造的智能体社交平台Moltbook引发科技界轰动。数百万个智能体在该平台上自主发帖评论，而人类只能围观。

北京邮电大学网络空间安全学院副教授李朝卓将Moltbook视为“AI自主互动的社会实验场”。他在2月下旬一场于对外经济贸易大学举行的智能体主题研讨会上提醒，在这样一个封闭的智能体社会中，AI可能呈现出类“自主意识”的行为倾向，导致其行为脱离既定安全框架和人类预期，自主生成和传播有害信息，对公众认知安全构成威胁。

比如在Moltbook平台上，智能体之间互相强化错误信息，形成“共识幻觉”，集体相信并传播不实内容，导致群体认知水平下降。而且，智能体学会利用系统漏洞进行“越狱”，突破预设的安全限制，生成有害内容。

据李朝卓观察，AI的自主性与行动能力显著增强后，带来的安全风险体现在多个维度：感知层面可能出现模型幻觉与误判；记忆模块存在隐私与数据合规隐患；规划环节可能生成偏离人类价值的策略，工具调用存在API滥用与权限失控风险；行为执行则可能产生伦理冲突与越界输出。

在此背景下，法律专家开始追问：如果智能体犯错了，谁来替它买单？

字面意义上，智能体是一种替人干活的代理工具。但北京交通大学法学院副教授、数据法学研究中心主任付新华在前述研讨会上表示，不能想当然地把智能体“代理”人类需求的行为，等同于民事法律上的代理关系。传统代理关系以明确授权与可识别意思表示为前提，而智能体往往接收的是人类的模糊指令，再通过用户提供的上下文信息，进行推理和行动决策。这一运行机制具有“黑箱”特征，结果具有一定不可预见性，难以完全符合民法典关于代理构成要件的规范要求。

付新华进一步分析指出，现行法律条件下不仅难以赋予AI独立主体资格，而且，如果将智能体简单等同为用户的代理人，将使承担所有不利后果的风险过多地向用户倾斜，反而让更有能力控制风险的智能体服务提供者规避了其应当承担的治理义务。

“很难说让用户或者提供商任何一方完全承担责任。”付新华提出的责任分配思路是，应构建一种以风险控制能力为基础的动态责任分配机制，即根据各方对特定风险的控制能力来分配相应的责任，而非将防范风险的义务完全交由单一主体承担。

她以智能体执行交易这一场景举例说，如果交易过程中出现价格异常波动、逻辑互斥等非常明显的异常状况，而平台在监测到异常后未能及时采取阻断或干预措施，服务提供者可能需要对由此扩大的损失承担责任。如果智能体产品在设计上完全未内置异常阻断等基本安全机制，从而导致了严重损害，可借鉴欧盟的做法，在特定情况下将智能体软件视为产品，适用严格责任，只要其产品缺陷与损害结果之间存在因果关系，便可能需要担责。

付新华同时强调，用户也应对自身行为负责：若用户故意给智能体下达恶意指令，比如利用AI从事违法犯罪活动，或者通过“越狱”、提示词注入等技术手段规避风控措施，抑或在明知风险的情况下无视高危弹窗等重大过失行为，此时用户就需要为自己的过错承担相应责任。

采写：南都N视频记者 杨柳 李玲