中國為OpenClaw立規矩：六做六不做背後的AI治理邏輯

當一隻「龍蝦」成為中國最熱門的AI吉祥物，政府的安全指引也隨之而來。

2026年3月11日，隸屬於工業和信息化部（工信部）的國家信息安全漏洞庫（NVDB）發布了一份針對AI智能體「OpenClaw」的安全使用指引。這份由AI智能體服務商、漏洞平台運營商與網路安全企業共同參與制定的文件，直指OpenClaw——其吉祥物「龍蝦」在用戶間廣為人知——在典型應用場景中潛藏的安全風險。

指引來得恰逢其時：OpenClaw正處於市場爆發期，從企業到個人用戶的採用速度之快，讓安全問題幾乎來不及跟上。

六做六不做，劃出紅線與底線

指引明確列出六項建議：使用官方最新版本、盡量減少網路暴露面、僅授予最低必要權限、謹慎使用充斥第三方產品的技能市場、防範瀏覽器劫持，以及定期檢查漏洞補丁。

與此對應的是六項禁止：使用過時版本或第三方鏡像版本、將AI智能體實例直接暴露於網際網路、部署時啟用管理員帳號、安裝需要輸入密碼的技能包、瀏覽未經驗證的網站，以及停用詳細的日誌審計功能。

NVDB特別點名了一個高風險場景：將即時通訊應用程式與OpenClaw連接，可能「授予過度權限，使惡意行為者得以讀取、寫入或刪除任意文件」。這不是假設性的威脅——在AI智能體大規模部署的環境下，這類攻擊面已在多個案例中被實際利用。

為何這份指引值得認真對待

廣告

廣告合作

[email protected]

廣告

表面上看，這是一份技術性的安全建議文件。但放在更大的脈絡下，它透露出幾個值得關注的信號。

第一，監管介入的時間點。 指引在OpenClaw市場採用「狂熱」期發布，而非在重大安全事件發生之後。這種「預防性監管」的取向，與中國近年來在數據安全、演算法推薦等領域的監管節奏一脈相承——先立規矩，再放量。

第二，制定方式的轉變。 這份指引並非單純的政府命令，而是由監管機構聯合產業鏈各方共同起草。這種「協商式監管」模式，在效率與靈活性上，與歐盟《AI法案》的立法路徑形成鮮明對比。布魯塞爾用了數年時間立法，北京用了數週時間出指引。

第三，「日誌審計不得停用」的弦外之音。 在網路安全語境下，這條禁令有其合理性——日誌是事後追溯攻擊路徑的關鍵。但在數據治理的語境下，它同樣意味著：用戶與AI智能體之間的互動記錄，必須保持可查閱狀態。這對企業用戶的隱私合規設計提出了新的要求。

不同視角下的解讀

對於在中國大陸部署AI系統的企業而言，這份指引提供了難得的明確性。過去，「合規」往往是一個模糊的概念；現在，至少在OpenClaw的使用上，有了具體的操作清單可循。

對於台灣、香港及東南亞的華人科技社群而言，這份指引的意義則更為複雜。OpenClaw若在這些市場同樣流行，相關的安全建議具有普遍參考價值；但監管框架的差異，意味著各地企業需要在「技術通用性」與「合規本地化」之間找到平衡。

從地緣政治的角度看，這份指引發布於DeepSeek引發全球關注之後的數個月。中國AI能力的快速提升，正促使各國重新評估AI供應鏈的安全性。中國政府主動為本土AI產品建立安全規範，既是對內的治理動作，也是對外傳遞「負責任AI開發者」形象的一部分。

當然，也有聲音對此持保留態度。部分安全研究人員指出，政府主導的「安全指引」與真正獨立的安全審計之間，存在根本性的差異。指引能規範用戶行為，卻無法替代對AI系統本身的透明度要求。