近来，开源AI智能体OpenClaw凭借可在个人设备上本地部署、能自主完成各类指令的核心亮点，掀起了“养龙虾”热潮。但热潮之下，也藏着不容忽视的网络安全隐患与法律风险。工信部、国家互联网应急中心先后发布预警，明确这款工具存在较高安全风险。北京一中院法官也提示，需警惕其潜藏的法律“雷区”。

雷区一：配置不当自负责

目前，OpenClaw最明显的短板是信任边界不清晰，缺乏完善的权限管理和操作记录机制。用户若默认设置不变或配置不当，易造成违规操作或被恶意控制，进而引发网络攻击、个人信息泄露等问题。

深圳一程序员安装OpenClaw后仅3天，便收到1.2万元的使用账单，原因是未做好安全配置，致AI在后台自动调用相关服务产生巨额费用。还有用户未关闭公网访问权限，致设备被他人恶意控制、敏感文件泄露，因未履行安全配置义务，被相关部门责令整改并处罚款。根据《网络安全法》，网络使用者需做好等级保护、数据加密、操作日志留存等安全措施；否则，可能被处以1万至10万元罚款，相关责任人还可能面临5000元至5万元罚款，若造成严重后果，还需承担民事赔偿，甚至追究刑责。

雷区二：盗版插件藏隐患

使用 OpenClaw 需授权其读取本地文件、浏览记录等信息，存在信息泄露的基础风险，盗版插件的出现则将该风险放大。

国家互联网应急中心已发布预警，指出 OpenClaw 的部分插件存在“投毒”风险，这类盗版插件多由黑灰产私自篡改原版代码制作而成，常被非正规的上门代装、远程代装服务暗中安装在用户设备中。不少非正规代装服务提供者会诱导用户进行“一键全授权”，让盗版插件获得无差别的设备访问权限，导致用户个人信息、数据隐私等内容脱离安全监管。而据《个人信息保护法》，处理金融账户等敏感个人信息，应获用户单独同意，不能搞“一键全授权”捆绑操作。

雷区三：“代养赚钱”或为骗局

随着“养龙虾”热潮兴起，社交平台上涌现出大量“代养OpenClaw 赚收益”的宣传，不少机构和个人打着“代养龙虾、躺赢高分红”“零成本操作、被动赚佣金”的旗号，吸引普通用户交出设备权限、付费加盟“代养团队”以获高额收益。而这背后可能暗藏黑灰产设下的陷阱。

所谓的代养服务，可能是利用用户的设备和授权，在设备中安装魔改版OpenClaw，进而从事批量注册账号、刷单、网络攻击等违法犯罪活动。而“分红佣金”只是诱饵，多数用户最终拿不到收益，还会成黑灰产“帮凶”。根据我国《刑法》，明知他人利用网络实施违法犯罪，仍提供技术支持或帮助，情节严重的可能构成帮信罪。相关司法解释也明确，向他人提供专门用于违法犯罪的程序、工具或其他技术帮助，可直接认定行为人明知他人在利用网络实施犯罪。

雷区四：擅自闭源分享等可能面临追责

OpenClaw采用的是MIT开源协议，但无论是普通用户还是开发者，对OpenClaw进行二次开发、修改或分享衍生作品时，都必须保留原始的版权声明、附上协议原文，不能违反协议约定，擅自将修改后的代码闭源，更不能恶意篡改版权信息。修改OpenClaw代码后，未遵守MIT协议要求，擅自闭源分享或篡改版权信息，可能面临著作权侵权的追责。

法官建议：

谨慎使用“一键全授权”

普通用户和研发人员“养龙虾”时，优先选择虚拟机或闲置设备部署，避免在存储敏感信息的设备上使用。关闭不必要的公网访问，定期完善安全防护机制；坚守正版，拒用破解版、魔改版，严格遵守MIT开源协议，保留原始版权声明；合规授权，谨慎使用“一键全授权”，防止敏感个人信息泄露；留存使用操作日志，对AI高风险指令进行人工确认，代装服务提供者需明确告知用户风险、留存相关记录，防范连带责任。