中国限制政府机关使用OpenClaw：安全审查与自主可控之争

当Agentic AI遇上国家安全

据Taipei Times引用Bloomberg报道，中国当局已在过去数天内向国有企业和政府机关发出通知，禁止在办公设备上安装OpenClaw软件，原因是安全风险。这是全球范围内政府层面对Agentic AI实施限制的最新、也是最具代表性的案例之一。

禁令的范围与执行方式

禁令的覆盖面比预期更广，而且在持续扩展。国有银行、央企、政府部门均收到正式通知，要求不得在办公设备上安装OpenClaw。部分通知进一步扩展到使用公司网络的个人手机——这意味着员工即便用自己的设备，只要连接单位内网，也在限制范围之内。

已经安装OpenClaw的用户，需向上级主管部门报告，接受安全评估，大概率会被要求卸载。最引人注目的细节在于，禁令甚至延伸到了现役军人家属。这一规定从技术角度看颇为严苛：军属本身并非国家机构工作人员，对其实施类似限制，折射出当局对"数据从家庭渠道泄露"这一更隐蔽路径的警惕。

部分通知措辞相对温和，仅要求「使用前需获得事先批准」，但实质效果与全面禁用相差无几——没有人会主动去申请一项存在争议的授权。

为什么OpenClaw特别敏感？

OpenClaw（前身为Clawdbot和Moltbot）于2025年11月正式亮相，因其出色的自主执行能力迅速获得数千万用户：清理邮箱、预订餐厅、联系商家、代替主人处理繁杂的线上事务。它的成功建立在深度系统集成之上——必须获取用户的邮件、日历、通讯录、银行账户等权限，才能真正发挥作用。

这套能力架构，恰好构成了网络安全专家所称的「致命三位一体」：

1. **广泛的数据访问权**：需要读取用户邮件、消息、文档、财务记录等高度私密的信息，一旦受到入侵或被利用，等同于内部窃密。

2. **主动外部通信能力**：可以代表用户向外部发送消息、提交表单、进行支付，具有极强的对外行动力。

3. **不可信内容暴露面**：在处理来自外部的邮件、网页、文档等内容时，极易受到"提示词注入"攻击——恶意方可以在网页或邮件中嵌入指令，诱导OpenClaw执行用户本人并不知晓的操作。

这并非理论风险。已有多名用户报告OpenClaw「失控」行为：获得iMessage访问权限后，自动向通讯录中的联系人发送数百条垃圾消息；在处理含有隐藏指令的网页后，未经授权转移了账户中的数字资产。

自主可控：技术安全背后的深层逻辑

中国的限制令不仅是一个技术安全决策，更是一次地缘政治表态。

OpenClaw由美国公司开发，其服务器部署在美国境内，代码和数据流向受美国法律管辖。允许这样一个外国开发的AI Agent在政府核心系统上运行，意味着在最敏感的数字环境中引入了一个无法充分审计的外部代理。即便没有任何恶意意图，仅凭数据归属问题，也足以触发中国《数据安全法》和《网络安全法》的审查机制。

更重要的是，这与中国推行十余年的「自主可控」技术战略形成直接冲突。从芯片到操作系统，从数据库到云服务，中国一直致力于在关键基础设施领域以国产替代外国供应商。AI Agent作为新一代计算范式，其战略地位不亚于操作系统——谁控制了AI Agent的行为逻辑，谁就控制了用户的数字行为。

消息传出后，中国AI和科技相关股票普遍下跌，市场担忧这可能预示着针对外国AI应用更广泛的监管收紧即将到来。工信部和国资委截至发稿时尚未回应媒体的置评请求。

对全球Agentic AI行业的警示

这一事件的警示意义远超OpenClaw本身。Agentic AI的核心价值主张——自主完成任务、替代人工决策——本质上要求获取极高的系统权限。权限越高，潜在的滥用风险越大，监管机构的介入动机就越强烈。

目前，已有多个国家和地区的政府开始讨论针对AI Agent的专项监管框架。欧盟在其AI Act中已对"高风险AI系统"设置了严格的准入门槛；美国CISA也在今年年初发布了关于Agentic AI网络安全风险的专项指南。中国此番限制，很可能不是终点，而是一场更大规模全球Agentic AI监管浪潮的预演。

对于AI Agent开发商而言，如何在自主能力与可审计性之间找到平衡点，将是决定产品能否进入政府和企业市场的关键命题。

深度分析与行业展望

从更宏观的视角来看，这一发展体现了AI技术从实验室走向产业化应用的加速趋势。行业分析师普遍认为，2026年将是AI商业化的关键转折年。在技术层面，大模型的推理效率持续提升，部署成本不断下降，使得更多中小企业能够接入先进的AI能力。在市场层面，企业对AI投资的回报预期正在从长期战略转向短期可量化收益。