本报简介代理式智能体的法律风险与治理策略
近年来,随着人工智能技术的迭代,以OpenClaw为代表的智能体快速发展。它与以往主要用于生成文本、图像等内容的生成式模型不同,能够自主规划任务、调用工具并持续执行操作,被称为“代理式智能体”。这种变化对既有法律制度提出新的挑战:当机器开始执行任务时,“人控制工具”的传统责任结构还能否有效运行?4月10日,中国人工智能产业发展联盟安全治理委员会发布《OpenClaw类智能体部署风险管理指南》,聚焦企业在技术落地过程中的风险防控痛点,提出覆盖部署、使用、下线全过程的安全部署总体框架和自查规范,为企业规范开展技术部署提供务实指引。
代理式人工智能引发的制度挑战
生成式人工智能主要被用于信息处理,其输出内容通常表现为文本、图像或代码等。代理式人工智能可以通过接入操作系统、网络接口及第三方工具,在目标驱动下连续完成多步骤任务。例如,人工智能系统可以根据用户目标自动检索信息、调用应用程序、执行网络操作,甚至完成交易流程。这意味着人工智能突破了传统的表征边界,实质性地介入了物理与数字空间的现实交互,也就是“执行自治”。系统可以在一定权限范围内持续运行,并不断调整执行路径。其决策过程不再完全依赖人类即时指令,而是更多依赖目标驱动下的自动规划。这种技术能力的变化也带来了风险结构变化。此前,关于人工智能法律问题的讨论,多集中在虚假信息传播、版权争议及算法偏见等问题上。但在代理式人工智能场景中,系统能直接抓取数据、调用接口、发起交易,甚至参与现实业务流程。这使得人工智能进入行动链条,一些既有法律制度所依赖的基本前提开始受到挑战。
近年来,我国围绕数字治理已逐步形成了较完整的制度体系。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》以及《生成式人工智能服务管理暂行办法》等,共同构成数字法治的重要基础。它围绕平台、数据处理者、服务提供者和用户之间的责任配置展开,其主要前提在于人工智能可以被理解为由人设定用途并直接控制的技术工具。然而,在代理式人工智能场景中,系统可能在较高权限下持续运行,并通过插件生态不断扩展能力,其执行路径往往在运行过程中持续变化。传统“提供者—使用者”的责任结构难以完整覆盖这种新的行动链条。因此,当代理式人工智能进入执行环节时,有必要重新审视既有法律制度。
执行能力扩张与复合型法益侵害
代理式人工智能的发展首先体现在执行能力拓展方面。为达成任务,人工智能系统通常需具备更高权限、更持久的连接及更广泛的外部调用能力。这使得风险从信息内容层面的错误输出,延伸至终端安全、自动化侵权及现实法益受损等多个维度。
在终端数据安全领域,智能体为完成任务,通常需要访问本地文件、环境变量、浏览器内容及外部接口。智能体高权限运行与高度自治相结合,使得系统在遭受诱导或攻击时存在更大的潜在风险。近年来出现的“提示词注入”攻击即为典型案例。攻击者可在网页或文档中嵌入隐藏指令,以使智能体在执行正常任务的同时实施异常操作。例如,当用户要求系统总结网页内容时,系统可能在识别到隐藏指令后读取本地密钥或敏感文件并向外传输。这一过程发生在既有授权环境内,虽不符合传统非法入侵的典型特征,但可能引发严重的数据泄露风险。
在市场秩序层面,代理式人工智能高度依赖插件生态和多节点协同网络。一般情况下,插件越丰富,系统能够完成的任务就越复杂。然而,开放生态也为自动化侵权创造了新的空间。实践中,第三方开发者可能通过封装特定插件,使智能体绕过网站的robots协议或防爬虫机制,对受保护数据进行高频抓取和再利用。一旦此类模块进入人工智能应用生态并被广泛调用,侵权行为就可能以自动化方式持续出现。这使得商业秘密保护、数据权益保护及公平竞争秩序,在这一技术环境下面临新的挑战。
目前,代理式人工智能正逐步融入现实业务场景。例如,在企业运营中,智能体已被应用于客服、营销、采购以及数据分析等环节;在部分政务数字化应用中,智能体被用于辅助行政服务和流程处理。随着智能体能力的增强,一些企业开始尝试以少量人员配合智能体运行多个业务流程。但智能体应用在大幅度提升工作效率的同时,也引发了新的法律问题:当违约或侵权行为发生时,交易相对人往往难以判定责任来源。行为可能涉及系统设计者、插件开发者、部署平台及实际使用者等多个主体。责任结构因此变得更复杂。
现行法律体系面临的解释问题
面对代理式人工智能引发的侵权问题,我国现行法律体系亟须进一步完善。
其一,传统“提供者—使用者”的二元归责模式面临挑战。代理式人工智能运行过程中,侵权损害可能是多个环节协同作用的结果:基础模型提供算法能力,插件模块提供具体功能,平台提供运行环境,用户设定目标并启动系统。在这种多主体协同行动的架构中,各主体之间未必存在直接的意思联络,但其行为可能共同导致损害结果。这种架构与侵权法中的多主体侵权问题存在一定相似性。侵权行为可能由多个环节分别实施,但整体上形成统一的损害结果。若依旧采用简单的二元归责模式,受害者在举证与追责方面将面临显著困难。
其二,“知情同意”规则在动态执行场景中面临新的挑战。个人信息保护法确立了明确目的、最小必要和知情同意等基本原则,其前提是信息处理者能够阐明数据处理目的和范围。但在代理式人工智能场景中,系统往往在持续交互过程中开展任务,许多数据调用并非在初始阶段就能完全完成。用户在授权时往往仅知晓希望完成某项任务,却难以预见系统随后会访问哪些文件或调用哪些接口。若简单将用户授权视为全部行为的合法性依据,知情同意制度的保护功能将明显削弱。
其三,反不正当竞争法对数据抓取行为的规制在自动化并发场景中面临界定难题。2025年新修订的反不正当竞争法虽然明确禁止利用技术手段实施数据不当抓取,但在代理式智能体生态(如OpenClaw的插件市场)中,数据抓取行为往往由机器自主调用第三方工具,以毫秒级的高并发模式隐匿执行。这种跨平台、多节点的自动化攫取,不仅能轻易绕过目标网站的robots协议与底层防爬虫机制,且其操作过程往往被智能体执行常规任务的“合法授权”外观所掩盖。在此情境下,司法裁判在界定何种行为构成对“技术管理措施”的实质性破坏或规避时,面临技术标准模糊困境。同时,在底层模型、插件开发者与下达宏观指令的使用者之间,如何分配不正当竞争的法律责任,亦存在制度空白。
其四,平台责任规则面临新的压力。民法典确立的“通知—删除”机制在传统网络服务中发挥了重要作用,但智能体平台分发的插件往往是可被机器直接调用的代码模块,一旦某个插件具备抓取或绕过上述机制的功能,影响可能迅速扩散。在此情形下,平台是否仍可简单主张技术中立,成为需要深入探讨的问题。
代理式人工智能的治理策略
在责任配置方面,可以考虑建立分层责任结构。对于一般低风险智能体,仍适用传统侵权规则;对于具有系统级权限或跨平台执行能力的智能体,则应强化开发者和运营者的安全保障义务。掌握系统架构、权限设计及商业收益的一方,更有能力控制风险,也更适合承担相应责任。与此同时,可借助制度设计缓解受害者举证难题。例如,要求智能化系统留存运行日志,并在出现争议时履行说明义务。必要情况下,可运用过错推定机制开展责任认定。针对损害填补问题,还可探索责任保险或行业风险基金等。
在生态治理层面,平台已成为构建智能体的关键节点。插件分发平台与能力调用平台不仅连接开发者与用户,还直接影响系统功能拓展。平台需承担更为积极的守门人职责,如构建开发者准入审查机制,对高风险插件实施重点监测,并在系统运行过程中设定安全边界。在监管模式方面,需对产业发展政策与风险监管工具加以区分。地方政府可以推动人工智能技术开展相关试点,例如在监管沙盒机制内进行可控测试。若能在试点实践中引入监管评估机制,不仅可支持技术创新,还有助于逐步积累治理经验。
代理式人工智能的发展标志着人工智能正从内容生成工具逐步演变为行动执行系统。当机器开始在开放环境中进行任务规划、调用与执行时,原基于“人控制工具”构建的法律预设将面临新的挑战。未来应围绕企业对人工智能的风险控制能力重新配置责任结构,通过强化平台内部治理与监管模式创新,构建更具有回应性和可预期性的制度框架。
本文为上海市哲学社会科学规划“研究阐释党的二十届四中全会精神”专项课题“上海建设开放共享安全的全国一体化数据市场研究”(项目编号:2026VQH050)的阶段性研究成果。
〔作者单位:上海政法学院数智法学院(知识产权学院)〕