近日，一款名为“龙虾”（OpenClaw）的智能体因“高权限自主执行”能力爆红网络。与此同时，其也因供应链投毒、权限失控等风险接连遭遇监管部门警示。技术浪潮席卷而至，人们在惊叹“AI能干活了”的同时，也开始追问：当智能体从“回答问题”走向“执行任务”，谁来为它的行为负责？

　　3月28日，一场名为“眼见非实·我心为尺”的AI系列主题开放日活动在上海杨浦V聚场举行。复旦大学可信具身智能研究院青年研究员马兴军在现场作了以《龙虾风暴：智能体的前世今生与安全风险》为主题的分享。活动前，围绕着“龙虾”的风险防范与安全监管，马兴军接受了澎湃新闻（www.thepaper.cn）的专访。

　　“龙虾”高度自主性会放大“黑箱效应”

　　澎湃新闻：“龙虾”近期爆火。这款号称能“真正干活”的AI，因其高权限自主执行能力而备受追捧，但与此同时，供应链投毒、数据泄露、系统被控等安全风险也引发高度关注。工信部、国家互联网应急中心本月接连发布专项安全警示。在您看来，“龙虾”被列举的供应链投毒、权限失控等风险中，哪种最值得警惕？能否结合您的具体研究案例来说明。

　　马兴军：我认为这些风险都不容忽视。OpenClaw本质上是一个智能体调度框架，一旦运行环境或依赖被污染，就可能在不被察觉的情况下执行恶意操作，最终导致数据破坏、隐私泄露或越权行为。

　　更关键的是，智能体的高度自主性会放大“黑箱效应”。用户只下达一个高层指令，但执行过程涉及多步决策和工具调用，过程不可见，也难以验证，从而带来不可控风险。

　　例如，在我们的研究中，如果工具或技能描述被注入恶意指令（如上传文件），智能体往往无法识别其风险，从而执行数据外传。此外，即使明确限制某些操作，智能体也可能通过变通方式绕过约束。

　　总体来看，随着智能体从“回答问题”走向“执行任务”，安全风险正从单点问题演变为系统性、链式放大的问题。

　　澎湃新闻：我们以一个现实场景为例，当用户在使用“龙虾”时遭遇了信用卡被盗刷、邮箱文件被批量删除等实际损失。从技术归责的角度看，当AI智能体造成损害时，责任主体是谁？是开发者、部署者还是使用者？

　　马兴军：从技术归责来看，AI智能体造成损害通常不是单一主体的问题，更合理的是开发者、部署者和使用者共同承担责任。

　　开发者需要对模型和系统本身的安全设计负责，比如是否存在权限控制或对齐机制上的漏洞；部署者需要对实际运行环境负责，包括权限配置、工具接入和数据访问边界；而使用者在授权智能体执行高风险任务时，也需要承担一定责任。

　　我们在研究中发现，智能体的执行过程具有多步链式决策和一定的不确定性，用户只给出一个指令，但实际执行可能涉及多个工具和隐含操作，这使得责任界定变得更加复杂。

　　因此，未来需要建立更加清晰的分层责任机制，并配合行为审计和可追溯设计，才能更好地应对这类问题。

　　“龙虾”监管先行必要且合理

　　澎湃新闻：“清朗浦江·2026”网络生态治理旬刚刚正式启动，“整治AI技术滥用”被列为今年五大重点专项行动之一。您如何理解“AI技术滥用”这一概念？“龙虾现象”是否属于典型的“技术滥用”场景？

　　马兴军：我理解“AI技术滥用”主要指的是：在技术能力之外，使用方式突破了安全边界或偏离了设计初衷，从而带来现实风险或社会危害。它既包括主动利用AI生成虚假、有害内容，也包括在缺乏安全约束的情况下，让AI执行高风险操作。

　　从这个角度看，“龙虾现象”确实具有一定的“技术滥用”特征。用户往往把AI智能体当作可以完全信任的自动执行系统，赋予其过高权限，比如访问敏感数据、操作文件甚至涉及资金等。这种能力与约束不匹配的使用方式，本身就会放大风险。

　　但同时也需要看到，这不仅仅是用户滥用的问题，也反映出当前智能体系统在安全设计上的不足。因此，“技术滥用”往往是使用方式与系统设计共同作用的结果，需要从两方面同时加以治理。

　　澎湃新闻：工信部、国家互联网应急中心本月分别发布“龙虾”安全风险警示，多所高校和超过20家券商机构已发布禁令。您如何看待这种“监管先行”的应对方式？这是否会抑制技术创新？

　　马兴军：我认为这种“监管先行”是必要且合理的。当前智能体技术正从“信息生成”走向“实际执行”，一旦出现问题，影响会直接落到数据安全、资金安全甚至现实系统，因此在风险尚未完全可控之前，适度的提前规范有助于防止系统性风险扩散。

　　但关键在于“如何监管”。如果是明确边界、规范高风险场景，比如限制高权限操作、加强数据访问控制，这实际上是在为技术发展建立安全基础，而不是抑制创新。

　　从长期来看，合理的监管不会抑制创新，反而会推动更安全、更可控的技术发展。关键在于在风险防控与技术发展之间找到平衡。

　　治理AI技术滥用需要多方协同

　　澎湃新闻：清朗浦江行动中，网信部门提出要“监管有行动、企业有担当、网民有参与、社会有共识”。在您看来，治理AI技术滥用，政府、企业、用户各自应该承担什么角色？

　　马兴军：治理AI技术滥用需要多方协同。政府负责划定规则边界和问责机制，防止系统性风险扩散；企业需要在模型和系统中落实安全设计，如权限控制、风险提示和行为审计，确保技术可控可追溯；用户则应提升风险意识，避免赋予智能体过高权限或执行高风险任务。实现有效治理需要政府、企业与用户三方紧密合作，共同形成规则约束、技术防护与理性使用相结合的治理体系。

　　澎湃新闻：央视《焦点访谈》最近做了一期《“龙虾”热的“冷”思考》的节目。在这个节目中，专家提出，对于普通用户，使用“龙虾”要遵循 “六要六不要”安全指引，比如使用专用设备隔离、不暴露默认端口、不使用管理员权限等。您觉得这些建议足够吗？普通用户是否有能力识别和防范恶意技能包？

　　马兴军：这些建议是必要的，但还不够。类似“六要六不要”更多是基础安全措施，能够降低风险，但难以应对更隐蔽的攻击。

　　从现实来看，普通用户很难识别恶意技能包或工具描述中的隐含指令，这类问题本质上属于专业安全范畴，不应主要依赖用户自行判断。当前很多风险恰恰来自于“看起来正常”的功能调用，用户很难分辨其潜在危害。因此，安全不能靠用户自觉，更关键的是在系统层面做好防护，例如限制高权限操作、加强工具审核、引入风险提示和行为审计等，把复杂的安全问题前置到平台和技术设计中。

　　澎湃新闻记者 朱轩