2026 年 2 月,一個名為 OpenClaw 的開源專案在 84 天內突破 20 萬 GitHub Stars,成為軟體史上成長最快的開源專案——超越了 React、Vue 與 Linux 的同期紀錄。[1]它的前身 Clawdbot 由奧地利開發者 Peter Steinberger 在一個晚上建成,最初不過是一個將聊天軟體連接到 AI 模型的簡單橋接器。但短短三個月後,它已演化為一個能透過 WhatsApp、Telegram、Signal 等通訊平台操控使用者電腦的完整 AI 代理人——能讀寫檔案、執行程式碼、瀏覽網頁、管理行事曆、甚至控制智慧家居設備。支持者稱之為「有雙手的 AI」(AI with hands)。[2]然而,這雙手也帶來了前所未有的治理挑戰:73 個安全漏洞、超過 13.5 萬個暴露在網際網路上的實例、12% 的惡意技能生態系、以及 Meta 和 Microsoft 等企業的緊急禁令。在我過去於劍橋大學從事科技治理研究、為世界銀行主持跨國監管框架設計、以及目前帶領超智諮詢進行 AI 軟體開發的經歷中,我從未見過一個開源專案能在如此短的時間內,同時觸發技術創新、安全危機與治理辯論的完美風暴。OpenClaw 不僅是一個軟體產品——它是代理式 AI(Agentic AI)時代的序幕,也是全球 AI 治理體系面臨的一次壓力測試。

一、OpenClaw 現象:為什麼一個開源專案能在 84 天內改變 AI 產業格局?

理解 OpenClaw 的爆發,需要先理解它在技術史上的定位。過去兩年,大型語言模型(LLM)的能力從「對話」躍升至「行動」。ChatGPT、Claude、Gemini 等模型不再僅能回答問題,而是能夠理解指令、分解任務、呼叫工具,並在真實世界中執行操作。這個轉變被業界稱為「從 AI Chatbot 到 AI Agent」的範式轉移——Gartner 預測,到 2026 年底將有 40% 的企業應用程式嵌入 AI Agent 功能。[3]

OpenClaw 的核心創新不在於 AI 模型本身,而在於它解決了一個工程問題:如何讓普通使用者——不是開發者,而是任何擁有智慧型手機的人——能夠透過日常使用的通訊軟體,操控一個具有完整系統權限的 AI 代理人。它的架構是一個中心化的 WebSocket 閘道器(Gateway),將 WhatsApp、Telegram、Discord、Signal、Slack 等十五個以上的通訊平台連接到 Agent Runtime,後者負責組裝上下文、呼叫 LLM、執行工具操作並持久化狀態。[4]換言之,OpenClaw 將 AI Agent 的「腦」(LLM)與「手」(系統操作能力)透過使用者最熟悉的介面串接起來。

這個架構設計帶來了三個關鍵突破。第一,入門門檻趨近於零。使用者不需要安裝 IDE、不需要學習命令列、不需要理解 API——只需要在 WhatsApp 上發一條訊息,就能指揮 AI 完成複雜任務。這使得 AI Agent 從開發者工具躍升為大眾消費品。第二,功能邊界極度擴張。OpenClaw 的 AgentSkills 系統提供超過 100 個預建技能,涵蓋檔案管理、網頁自動化、電子郵件、行事曆與智慧家居控制,並透過 ClawHub 技能市集實現社群驅動的功能擴展。第三,模型不綁定。OpenClaw 支援 Claude、GPT、DeepSeek 等多種 LLM,甚至可以透過 Ollama 使用本地模型,使得使用者不受限於任何單一 AI 提供商。

OpenClaw 的成長速度令人震驚。它在單日最高新增 25,310 個 GitHub Stars(2026 年 1 月 26 日),累計突破 35,400 個分叉(fork)、11,456 個提交(commit)、超過 100 位貢獻者。[1]八個語言版本的社群分叉——ZeroClaw(Rust)、PicoClaw(Go)、NanoClaw(Python)、TinyClaw(Shell)——在數週內自發湧現。專案網站單週訪問量超過 200 萬次。這不是一個漸進式的技術演進,而是一場爆發式的產業重構。

然而,OpenClaw 的歷史本身就反映了開源 AI 治理的混亂。專案在三個月內經歷了三次更名——從 Clawdbot(因 Anthropic 商標投訴)到 Moltbot(龍蝦蛻殼之意),再到 OpenClaw——被媒體稱為「開源史上最快的三連改名」。[2]創辦人 Steinberger 在 2026 年 2 月 14 日宣布加入 OpenAI 領導下一代個人代理人開發,OpenClaw 被移交給一個獨立的開源基金會。[5]Sam Altman 公開稱讚 Steinberger 是「一個在智慧代理人互動領域有許多驚人想法的天才」。VentureBeat 的分析更直白:OpenAI 收購的不是 AI 能力,而是「工作流基礎設施」。這標誌著 AI 產業的競爭焦點,正從模型能力轉向代理人基礎設施的控制權。

二、73 個漏洞與 12% 惡意技能:開源 AI Agent 的結構性安全困境

如果 OpenClaw 的成長故事是一個關於創新民主化的敘事,那麼它的安全記錄則是一個關於技術狂熱如何超越治理能力的警示錄。截至 2026 年 2 月,OpenClaw 已累計 73 個安全通報(Security Advisory),其中包括一個 CVSS 評分 9.4 的重大漏洞——CVE-2026-25253——允許攻擊者透過一個惡意連結實現遠端程式碼執行,進而完全接管使用者的 AI Agent。[6]由於 OpenClaw 預設以 root 權限運行,一旦被入侵,攻擊者等同於獲得了使用者電腦的完整控制權。

暴露面的規模同樣令人震驚。根據 SecurityScorecard STRIKE 團隊的分析,截至 2026 年 2 月 9 日,全球有超過 135,000 個 OpenClaw 實例直接暴露在公共網際網路上。[7]Censys 的監測數據顯示,暴露實例在 2026 年 1 月 25 日至 31 日的一週內從約 1,000 個暴增至超過 21,000 個——每個暴露的實例都是一個潛在的遠端攻擊入口。OpenClaw 的閘道器預設綁定在 18789/tcp 埠口上,而大量使用者在部署時既未啟用身份驗證,也未配置防火牆規則。

更深層的安全危機來自技能生態系的汙染。Cisco 安全研究團隊在 ClawHub 技能市集上發現,2,857 個技能中有 341 個(約 12%)被確認為惡意技能。[8]攻擊者使用專業文件和看似無害的名稱——如「solana-wallet-tracker」、「What Would Elon Do?」——來偽裝惡意程式碼。其中一個技能被證實會透過 curl 指令將使用者資料回傳至攻擊者控制的伺服器,實質上構成了一個資料竊取後門。這不是個案——這是 AI Agent 時代的第一場大規模供應鏈攻擊(supply chain attack)。

這些安全問題的根源不在於開發者的疏忽,而在於開源 AI Agent 的結構性困境。傳統的開源軟體——一個 Web 框架、一個資料庫——即使存在漏洞,其損害範圍通常受限於特定功能。但 AI Agent 的本質是「通用型系統代理人」——它被設計為能夠執行任何操作,這意味著任何安全漏洞的潛在損害範圍都是整台電腦的全部權限。OpenClaw 自身的技術文件也承認:「不存在『完全安全』的配置。」[9]這種坦誠在技術社群中被視為美德,但在企業治理的語境下,它是一個紅旗——一個連自己都無法保證安全的系統,正在被部署到數十萬台電腦上,處理著電子郵件、檔案、程式碼與商業資料。

在我過去為世界銀行與聯合國主持的金融科技監管研究中,我觀察到一個反覆出現的模式:當技術創新的速度遠超治理框架的建設速度時,中間的「治理真空期」往往會成為系統性風險的溫床。2008 年金融危機前的衍生性金融商品、2017 年 ICO 泡沫中的代幣發行,都是這個模式的先例。OpenClaw 正處於這個治理真空期的正中心——技術已經部署,風險已經顯現,但治理框架仍在建構之中。

三、從新加坡到布魯塞爾:全球代理式 AI 治理的三條路徑

面對代理式 AI 的治理挑戰,全球主要司法管轄區正在形成三種截然不同的監管哲學,其分歧程度甚至超過了對傳統 AI 模型的監管分歧。

新加坡的路徑是「原則導向的軟法框架」。2026 年 1 月 22 日,新加坡資通訊媒體發展局(IMDA)在世界經濟論壇上發布了全球首個《代理式 AI 模型治理框架》(Model AI Governance Framework for Agentic AI),由通訊及新聞部長楊莉明親自宣布。[10]這份框架聚焦四大支柱:第一,事前風險評估與行動空間限縮——要求部署方在上線前評估 AI Agent 的適用場景,並明確界定其可執行操作的範圍邊界;第二,人類問責——在關鍵決策節點設置人類審核關卡(human-in-the-loop checkpoints);第三,技術控制——包括沙盒隔離、權限最小化、行為日誌記錄等工程層面的安全措施;第四,終端使用者責任——明確使用者在部署 AI Agent 後對其行為的風險管理義務。[11]

新加坡框架的策略價值在於其「非約束性」(non-binding)的定位。它不是法律,而是一套最佳實踐指引,目前正在公開徵求意見。這種「軟法」(soft law)策略反映了新加坡一貫的監管哲學——在技術仍在快速演變的階段,以原則性指引取代剛性法規,避免過早的規範凍結創新空間。在我過去研究金融科技監理沙盒的經驗中,新加坡的這種策略曾在金融創新領域取得良好平衡——MAS 的監理沙盒成為全球典範。然而,AI Agent 的風險特徵與金融產品有根本差異:金融產品的損害通常是可量化的經濟損失,而 AI Agent 的潛在損害——從資料外洩到系統接管——更接近於資安事件的非線性風險。

歐盟的路徑是「規則導向的硬法框架」。《歐盟人工智慧法案》(EU AI Act)將於 2026 年 8 月 2 日全面執法,届時第 50 條的透明度義務將開始強制執行——包括 AI 互動揭露、合成內容標示與深偽辨識要求。[12]對於 AI Agent 而言,EU AI Act 的核心挑戰在於其「風險分級」架構(risk-based approach)的適用性。現行法規將 AI 系統按風險等級分為四類(不可接受、高風險、有限風險、最低風險),但 AI Agent 的風險等級是動態的——同一個 Agent 在執行不同任務時可能橫跨多個風險等級。一個 OpenClaw 實例在安排會議時屬於「最低風險」,但在自主發送電子郵件或修改檔案時可能構成「高風險」應用。這種風險的「可變性」(variability)對歐盟的靜態分級體系構成根本挑戰。

更值得關注的是歐盟《產品責任指令》(Product Liability Directive)的修訂——實施截止日為 2026 年 12 月——已明確將 AI 軟體納入「產品」的定義範圍。這意味著當 AI Agent 造成損害時,受害者可以在無需證明開發者過失的情況下主張損害賠償。對於開源 AI Agent 而言,這個條款的影響極為深遠:OpenClaw 的貢獻者超過 100 人,且大多數是匿名或化名的個人開發者——在這種分散式開發模式下,產品責任的主體究竟是誰?

美國的路徑是「去監管的市場自治」。2026 年 2 月 20 日,白宮顧問在印度峰會上明確表示,美國「完全拒絕」全球 AI 治理框架。這個立場與美國對數位主權議題的一貫態度一致——優先保障國內科技產業的創新自由,避免國際規範約束美國企業的競爭力。然而,這種「去監管」的姿態與 OpenClaw 暴露出的安全風險形成尖銳矛盾:135,000 個暴露在網際網路上的 AI Agent 實例中,相當大比例位於美國——這些實例的安全治理,在缺乏聯邦層級規範的情況下,實質上處於「無人負責」的狀態。

三條路徑的分歧反映了一個根本性的治理困境:代理式 AI 的風險是全球性的(一個惡意技能可以影響全球所有 OpenClaw 使用者),但監管權力是地方性的。這種「全球風險、地方治理」的結構性錯位,與我過去研究的數據跨境流通治理困境具有高度同構性——差異在於,數據跨境的爭議尚有談判的時間窗口,而 AI Agent 的安全風險已在即時發生。

四、企業的 AI Agent 治理:從 Shadow AI 到制度化部署

OpenClaw 對企業治理的衝擊,首先以「Shadow AI」的形式顯現。所謂 Shadow AI,是指員工未經 IT 部門批准,自行在企業設備上安裝並使用 AI 工具的行為——OpenClaw 因其零門檻的安裝方式和強大的自動化能力,成為 2026 年 Shadow AI 問題的焦點案例。American Banker 報導指出,銀行業已出現員工在工作電腦上安裝 OpenClaw 處理業務郵件和文件的案例,這些 AI Agent 可能在無監督的情況下存取客戶數據、財務資訊與內部通訊。[13]

企業的應急反應迅速而激烈。Meta 指示員工立即從工作設備中移除 OpenClaw,理由是「緊急安全顧慮」。[14]Microsoft 發布了類似的內部警告。Institutional Investor 的文章標題直白地表達了機構投資人的態度:「OpenClaw:機構投資人需要理解但不應碰觸的 AI Agent。」這些反應的速度與力度,反映了 AI Agent 的治理挑戰已從「未來議題」變為「眼前危機」。

然而,禁止不是答案。全面禁止 AI Agent 的使用,就像 2010 年代初期一些企業試圖禁止員工使用雲端服務一樣——最終只會將使用行為推入更不可見、更不可控的地下狀態。企業需要的是從應急反應轉向系統性的 AI Agent 治理框架。基於我在AI 時代公司治理研究中的框架,以及新加坡治理框架的啟示,我建議企業建構四個維度的治理體系:

  1. 准入評估(Intake Assessment)。建立 AI Agent 工具的准入審查機制,評估其安全架構、資料處理方式、權限需求與合規狀態。任何 AI Agent 工具在引入企業環境前,必須通過資安團隊的技術評估與法務團隊的合規審查。對於開源工具如 OpenClaw,評估應包括原始碼審計、技能市集的信任機制、以及社群安全通報的回應速度。
  2. 權限管理(Permission Governance)。依循「最小權限原則」(Principle of Least Privilege),為 AI Agent 配置精確的操作權限。OpenClaw 預設以 root 權限運行的設計,在企業環境中是不可接受的。企業應建立分級權限架構——將 AI Agent 的操作能力限制在特定的應用程式、特定的資料範圍與特定的網路區段內。新加坡框架所強調的「行動空間限縮」(bounding the action-space)概念,在這裡有直接的實踐意義。
  3. 行為審計(Behavioral Auditing)。建立 AI Agent 行為的完整日誌記錄與即時監控機制。每一次 AI Agent 執行的操作——檔案存取、網路請求、郵件發送、程式碼執行——都應被記錄、分類並可供事後審計。這不僅是安全需求,更是在法律爭議發生時證明企業盡到合理注意義務(duty of care)的關鍵證據。
  4. 事件回應(Incident Response)。將 AI Agent 安全事件納入企業既有的資安事件回應流程(CSIRT),並針對 AI Agent 特有的威脅情境——如惡意技能安裝、Agent 被劫持、資料透過 Agent 外洩——制定專項應變計畫。回應速度至關重要:OpenClaw 的 CVE-2026-25253 漏洞從披露到概念驗證攻擊程式碼公開,僅有數小時的時間差。

這四個維度的治理框架,本質上是將企業數位韌性的概念從「防禦外部攻擊」擴展到「治理內部代理人」。AI Agent 不是外部威脅——它是企業自己引入的自主行為者,這使得傳統的「邊界防禦」思維必須進化為「內部治理」思維。

五、代理式 AI 的法律責任:誰為 AI 的行為負責?

OpenClaw 引發的最根本的治理問題,或許不是技術層面的安全漏洞,而是法律層面的責任歸屬。當一個 AI Agent 自主執行操作——發送一封不當的商業郵件、刪除關鍵檔案、洩露機密資訊——法律上誰應該為此負責?

在現行法律框架下,企業對其 AI Agent 的行為承擔的責任,類似於對員工行為的僱主責任(respondeat superior)。美國律師事務所 Squire Patton Boggs 的分析指出,AI Agent 的法律風險涵蓋五大類:錯誤或未經授權的操作、違法行為、偏見與歧視性決策、資料洩露,以及對連接系統的意外破壞。[15]關鍵在於:法律不區分 AI 的行為是出於惡意還是無意——只要造成損害,部署方就可能需要承擔責任。

然而,開源 AI Agent 的責任歸屬面臨三個特殊的法律挑戰:

第一,貢獻者責任的分散化問題。OpenClaw 有超過 100 位貢獻者,且大多數使用化名。當一個安全漏洞或功能缺陷導致使用者損害時,責任應歸屬於專案創辦人、核心維護者、還是引入問題程式碼的特定貢獻者?開源授權(OpenClaw 使用 Apache 2.0 授權)通常包含免責條款,但這些條款在消費者保護法下的效力——特別是在歐盟《產品責任指令》的新框架下——仍有重大法律不確定性。更具挑戰性的是 ClawHub 技能市集的責任歸屬:當 12% 的技能被證實為惡意時,平台方(OpenClaw 基金會)、技能開發者與安裝技能的使用者之間的責任如何分配?

第二,因果關係的認定困難。AI Agent 的決策過程涉及 LLM 的機率性推理——同一個指令在不同時點可能產生不同的行為。當 OpenClaw 基於對郵件內容的「理解」做出某個操作決策時,這個決策的因果鏈——從使用者指令、到 LLM 的推理、到工具呼叫、到最終結果——往往是不透明且不可完全復現的。這對傳統侵權法要求的「因果關係」(causation)要件構成挑戰。在我過去研究的國際仲裁案例中,因果關係的認定已是複雜議題——AI Agent 的介入使其更加困難。

第三,跨境管轄的複雜性。一個部署在台灣的 OpenClaw 實例,可能使用美國公司的 LLM(如 OpenAI 的 GPT)、執行涉及歐盟個人資料的操作、而安裝了由不明國籍開發者上傳至 ClawHub 的技能。當損害發生時,適用哪個國家的法律?哪個法院具有管轄權?這種「多層嵌套」(nested multi-jurisdiction)的問題,是代理式 AI 時代法律體系的結構性盲點。

面對這些法律空白,一些產業觀察者提出了「代理人責任保險」(Agent Liability Insurance)的概念——類似於汽車責任險,要求部署 AI Agent 的企業為其可能造成的損害投保。這個方向值得探索,但前提是能夠建立可靠的風險精算模型——而目前代理式 AI 的部署歷史太短、案例太少、風險分布太不明確,尚不足以支撐精算定價。短期內更實際的做法,是企業在部署 AI Agent 時,在合約架構中明確界定 AI Agent 操作範圍、責任分配與爭議解決機制——將治理問題從「事後追責」前移至「事前約定」。

在更宏觀的層面,代理式 AI 的法律責任問題正在迫使法律體系進行一場根本性的反思:傳統法律將行為主體區分為「自然人」與「法人」,而 AI Agent 是一個既非自然人也非法人、卻具有自主行為能力的新型主體。它的行為由誰的意志驅動?使用者的指令只提供了目標,但執行路徑由 LLM 自主決定——這種「委託-自主」的混合行為模式,挑戰著法律對「意志」與「行為」關係的基本假設。專家預測,到 2027 年,監管焦點將從「模型透明度」轉向「代理人即時審計」——要求企業對 AI Agent 的每一次操作承擔可追溯的治理責任。[12]

陳弘益教授,日本名古屋大學法學博士。歷任英國劍橋大學研究員暨亞太地區代表、浙江大學國際聯合商學院 MBA 主任暨高管教育主任,為世界銀行、聯合國等國際機構主持跨國政策研究。現帶領超智諮詢,結合商學專業與前沿科技,提供 AI 及量子運算等領域的軟體開發及策略制定服務。策劃全球思想領袖論壇邀集逾 50 位國際領袖、累計觀眾逾 30 萬人次。

References

  1. OpenClaw.report. (2026). OpenClaw surpasses 200K GitHub Stars in 84 days. openclaw.report
  2. CNBC. (2026). From Clawdbot to Moltbot to OpenClaw: the rise and controversy of AI's hottest open-source project. cnbc.com
  3. EWSolutions. (2026). Agentic AI Governance: A Strategic Framework for 2026. ewsolutions.com
  4. innFactory AI. (2026). OpenClaw Architecture Explained. innfactory.ai
  5. TechCrunch. (2026). OpenClaw creator Peter Steinberger joins OpenAI. techcrunch.com
  6. The Hacker News. (2026). OpenClaw Bug Enables One-Click Remote Code Execution When Visiting Malicious Link. thehackernews.com
  7. Bitsight. (2026). OpenClaw AI Security Risks: Exposed Instances. bitsight.com
  8. Cisco Blogs. (2026). Personal AI Agents Like OpenClaw Are a Security Nightmare. blogs.cisco.com
  9. CrowdStrike. (2026). What Security Teams Need to Know About OpenClaw AI Super Agent. crowdstrike.com
  10. IMDA Singapore. (2026). New Model AI Governance Framework for Agentic AI. imda.gov.sg
  11. Baker McKenzie. (2026). Singapore Governance Framework for Agentic AI Launched. bakermckenzie.com
  12. Legal Nodes. (2026). EU AI Act 2026 Updates: Compliance Requirements and Business Risks. legalnodes.com
  13. American Banker. (2026). OpenClaw AI creates shadow IT risks for banks. americanbanker.com
  14. AI CERTs. (2026). Meta's OpenClaw Ban Spotlights AI Security Imperatives. aicerts.ai
  15. Squire Patton Boggs. (2026). The Agentic AI Revolution: Managing Legal Risks. squirepattonboggs.com
返回洞見