跟风装了个全网爆火的 AI “小龙虾”,结果一觉醒来,电脑里的私密文件、账户凭证全被黑客一秒搬空了?最近全网刷屏的 “养虾热” 背后,第一批跟风入场的人,已经彻底失眠了。
这里说的 “养虾”,就是最近火遍全网的 AI 智能体工具 OpenClaw,一边是腾讯大厦楼下近千人排起长龙,等着免费安装这款工具,二手平台上 “代装龙虾” 的生意更是火到日入斗金;另一边却是工信部紧急发布安全预警,网络安全专家接连发声警告,目前已经有 27 万只 “龙虾” 因为配置不当在公网裸奔,一旦被黑客盯上,瞬间就能掏空用户电脑里的所有数据,甚至有用户直言,现在最怕的不是数据被偷,而是不知道它会偷偷删掉电脑里的什么东西。一只小小的 AI 龙虾,一边炒出了全民狂欢的热度,一边也埋下了关乎每个人数字安全的巨大隐患。
从律师的角度来看,这场 AI 狂欢的背后,藏着最核心的两个问题:一个是我们的个人信息和数据安全,到底被我们亲手交出去了多少;另一个是一旦出了事,到底该由谁来为我们的损失买单。
很多跟风装龙虾的人可能根本没意识到,为了让这只 “龙虾” 帮你干活,你需要交出的权限到底有多可怕。它需要读取你电脑里的全部文件、调用你的邮箱、操控你的浏览器,甚至连你的网银信息、账户密码、API 密钥这些最核心的数字资产,都要对它完全开放。
这就相当于你为了让一个陌生人帮你收拾屋子,直接把家门钥匙、银行卡密码、保险柜密码全交到了对方手里,连对方会拿这些东西干什么,你都一无所知。
这里就直接触碰到了《个人信息保护法》的核心红线,法律明确规定,处理个人信息必须遵循 “告知 - 同意” 的核心原则,必须清清楚楚、明明白白地告诉用户,要收集什么信息、拿这些信息干什么、会带来什么样的风险,用户才能做出真实的同意决定。
尤其是金融账户、私密文件这类敏感个人信息,法律的要求只会更严格,必须取得用户的单独同意,绝对不能藏在几千字的用户协议里,让用户打个勾就算完事了。
可现实情况呢?新闻里说得很清楚,现在涌入 “养虾大军” 的,绝大多数都是不懂技术、看不懂代码的普通用户,很多人甚至是花钱找二手平台的代装服务,全程闭着眼睛点同意,连自己交出去了多少权限、开了多少高危端口都不知道,更别说搞懂背后的安全风险了。
如果软件的二次分发者,或是这些收费代装的服务商,没有完整、清晰地把这些风险告诉用户,只是为了赚钱一路帮用户开通最高权限,那本质上已经侵害了消费者的知情权和选择权,后续用户因此遭受了损失,这些主体也难辞其咎。
更让人揪心的,是目前已经暴露在公网上的 27 万只 “裸奔龙虾”,这些用户的电脑就像没关门窗的房子,谁路过都能进来翻个底朝天。很多人可能会问,真的出了数据泄露、财产损失的事,到底该找谁负责?
这个问题要分清楚不同主体的法律责任,OpenClaw 本身是一款开源的 AI 智能体框架,技术本身是中性的,但这并不代表相关主体没有安全义务。根据《网络安全法》和《数据安全法》的规定,网络产品、服务的提供者,必须履行安全保障义务,保障产品和服务的安全稳定,防范数据泄露、窃取、篡改的风险。
如果软件的二次开发、分发者,为了降低使用门槛,把默认配置设置成完全无防护的高危状态,导致普通用户安装后直接暴露在公网中,那他们必须为用户的损失承担相应的民事赔偿责任,情节严重的,还可能触犯刑法,承担刑事责任。
而那些在二手平台上收费代装的服务商,责任只会更重。他们明知这款工具需要极高的安全配置门槛,却为了赚钱,给不懂技术的普通用户开通所有高危权限,事后也不做任何安全防护配置,甚至还可能在安装包中植入后门程序,这种行为一旦造成用户数据泄露、财产损失,不仅要承担全额的民事赔偿,还可能涉嫌构成非法获取计算机信息系统数据罪,面临牢狱之灾。
至于那些恶意扫描、入侵用户设备的黑客,更是我国法律严厉打击的对象,只要非法获取数据达到法定数量,或是非法控制他人计算机系统,就会直接触犯刑法,面临刑事处罚。
对我们普通用户来说,这场 AI 狂欢给我们最大的警示,就是永远不要为了赶潮流、贪新鲜,就把自己最核心的数字安全拱手让人。你电脑里的工作文件、私密照片、邮箱信息、网银凭证,哪一样不是你不能丢的 “命根子”?
在下载任何一款爆火的应用,尤其是非官方渠道的工具前,一定要多问自己几句:它为什么要读取我全部的文件?为什么要开放我的公网访问权限?我点下同意的那一刻,到底把什么东西交出去了?
AI 技术能给我们的生活带来便利,从来都不是坏事,但技术的便利,永远不能建立在牺牲安全的基础上。别等自己的隐私成了别人口中的 “龙虾饵料”,等自己的账户被人一秒搬空,才后知后觉地开始失眠。在这场全民 AI 狂欢里,守住自己的数字安全底线,才是最该做的事。
热门跟贴