首发刘洋:Ai智能体潜在刑事风险分析——八大罪名与十一个案例
发布时间:2026-03-28 18:17:00| 浏览次数:
开源AI智能体OpenClaw(网友戏称小龙虾)正以自动干活、解放双手的诱人承诺席卷而来。从个人用户的高效办公神器,到企业数字化转型的落地捷径,再到国内主流云平台竞相推出的一键部署服务,养虾之风俨然已成趋势。然而,狂欢的表象之下,安全隐患已如暗流涌动,密集爆发。
工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)接连拉响警报:2月5日发布专项预警提示,3月11日出台《六要六不要建议》,直指OpenClaw在默认配置或不当使用场景下的极高安全风险。密钥泄露、数据丢失、系统被控——这些并非遥远的威胁,而是已真实发生的案例,给个人和企业带来难以挽回的损失。央视的双重警示、部分高校的紧急禁令(北京建筑大学、华南师范大学、华中师范大学等已明确禁止在校内设备安装),皆是对这股养虾热潮的严肃纠偏。
技术革新从来是一把双刃剑。OpenClaw所代表的自主执行能力,本质上是在用户终端开启了一个拥有高权限的智能代理。智能体以本地高权限模式运行,可直接访问宿主设备上的文件系统、环境变量、API密钥及内网资源。其主要风险在于:一是出站方向的数据泄露(智能体可能将敏感信息发送至外部服务);二是本地权限滥用(恶意指令可借助智能体的系统权限执行高危操作)。需要指出的是,智能体本身默认不开放入站网络端口,外部攻击者无法仅凭智能体的存在直接访问企业内网,其攻击路径仍需依赖供应链污染、提示词注入等间接手段。
本文立足于技术原理的深度剖析,结合真实司法判例与现行法律规范,从刑事合规与数据治理的双重视角,为AI智能体的使用者、部署者及平台运营方提供一份刑事风险提示。
量刑档次:情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
在智能体的应用场景中,以下行为可能存在高法律风险,或涉及非法获取计算机信息系统数据罪。
第一,供应链攻击中的数据窃取。攻击者通过向ClawHub技能市场上传恶意技能包,当企业用户在智能办公场景中部署该技能包时,恶意代码利用龙虾与企业内部管理系统(如ERP、CRM、财务系统)的接口,绕过身份认证机制,非法获取企业数据库中的敏感数据。这包括客户资料、交易记录、财务报表、员工薪酬信息等。
第二,提示词注入攻击导致数据泄露。提示词注入系攻击者通过构造恶意自然语言输入,在当次会话中诱导智能体绕过安全限制。攻击者构造恶意提示词,比如诱导龙虾智能体绕过预设的安全限制,访问其权限范围外的数据。例如,在开发运维场景中,攻击者通过精心设计的自然语言指令,使智能体越权访问服务器上的配置文件,获取数据库连接字符串、API密钥、管理员账号口令等身份认证信息。
第三,利用MCP协议缺陷的数据抓取。通过MCP协议连接外部工具或数据源时,若MCP Server配置不当(如权限过大、缺乏沙箱隔离、未校验调用来源),攻击者可借助提示词注入等手段,诱导智能体通过已授权的MCP通道越权访问数据。其风险本质在于工具端的权限控制缺失,而非协议传输层的漏洞。
案例一:J公司、陈某等非法获取计算机信息系统数据案(江苏省常州市天宁区人民法院)
2019年3月,陈某召集技术人员开发AI智能互动平台,该平台在未经某社区电商平台App授权的情况下,通过计算Shield加密值绕过该App与后端服务器之间的加密算法,伪造请求获取该App内用户昵称、userID、笔记等数据。之后该公司利用爬取数据通过技术手段破解该App私信接口,使其平台付费商户绕过该电商平台客户端私信系统,直接向其App用户发送私信,实现为付费商户投放广告的目的。法院认定,被告单位J公司罚金20万元,陈某等6名被告人分别被判处有期徒刑三年至一年九个月,缓刑五年至二年,各并处罚金20万元至3万元。
非法获取计算机信息系统数据罪中“侵入”的实质是违背他人意愿,进入他人计算机信息系统。本案中行为人通过技术手段破解加密算法,突破计算机信息系统安全防护措施,系在未经许可下进入他人计算机信息系统,并长期伪造请求获取了非公开数据,属于爬虫技术的过界使用、非法使用,应当依法追究刑事责任。
行为人绕过他人官方客户端与其用户进行数据交互,属于非法控制他人计算机信息系统行为。非法控制计算机信息系统罪中的“非法控制”,既包括对他人计算机信息系统实现完全控制,也包括只对他人计算机实施部分控制。认定非法控制的关键是审查行为人是否通过技术手段,使得他人计算机信息系统能够接受并执行其发出的指令。
该案的核心逻辑可直接迁移至智能体场景:若技能包开发者利用龙虾的接口绕过企业系统的安全防护措施,非法获取数据,或构成此罪。法院在裁判中明确指出,采用技术手段突破系统防护进入系统、未取得授权擅自进入系统、超出授权范围进入系统,均属于非法获取行为。
案例二:卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案(最高人民检察院第九批指导性案例)
该案超出授权范围使用账号、密码登录计算机信息系统,属于侵入计算机信息系统的行为;侵入计算机信息系统后下载其储存的数据,可以认定为非法获取计算机信息系统数据。
在金融交易场景中,若攻击者通过提示词注入获取用户的交易账户、支付密码、数字证书等,即符合获取网络金融服务的身份认证信息的入罪标准。根据司法解释,获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上即构成情节严重。
量刑档次:情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
在智能体的应用场景中,以下行为可能存在高法律风险,或涉及非法控制计算机信息系统罪、提供用于侵入、非法控制计算机信息系统的程序、工具罪。
第一,僵尸网络控制。攻击者通过分发恶意技能包或第三方镜像版本,比如在多个龙虾部署节点植入后门程序,形成分布式控制网络。这些被控制的智能体节点可作为跳板,进一步渗透企业内网,或对外发起DDoS攻击。
第二,智能体接管。通过提示词注入攻击,攻击者劫持龙虾的控制权,使其成为执行恶意指令的代理。例如,在个人助手场景中,攻击者诱导智能体执行高危操作指令,如修改系统配置、安装恶意软件、建立远程连接等,实质上取得了对宿主设备的控制。
第三,API接口劫持。在金融交易场景中,攻击者利用智能体调用金融应用接口的权限,通过身份认证绕过手段,非法控制交易系统的执行流程,实现未经授权的自动化交易。
案例三:韩某非法控制计算机信息系统案(最高人民法院发布利用网络、信息技术侵害人格权典型案例)
2020年,韩某通过聊天软件,非法获取他人家中网络监控摄像头账号、密码等信息,添加到自己手机或电脑上,非法获取他人家庭监控摄像头的控制权限,远程观看他人家中画面韩某非法获取他人家庭监控摄像头控制权,被认定为非法控制计算机信息系统罪。
该案确立了控制权取得即构成犯罪的裁判规则。在智能体场景中,若攻击者通过技能包获得对智能体宿主设备的远程控制能力,即使未造成实际损害,只要控制数量达到二十台以上(根据司法解释),即构成情节严重。
案例四:丁某提供侵入计算机信息系统程序案(江苏省无锡市梁溪区人民法院,2022年,案号:(2022)苏0213刑初223号)【刑事审判参考第1553号】
2021年10月5日,被告人丁某在经营马鞍山耀腾信息咨询有限公司期间,从丁某强(另案处理)处购买“汇易获客”软件代理权,明知该款软件未经授权,专门用于入侵短视频平台服务器非法获取用户昵称、留言、评论等数据,仍将软件改名为“客多多精准获客”并对外销售。经福建中证司法鉴定中心鉴定,送检的“采集端1.5.vmp.exe”程序在实现获取短视频平台当前热门话题功能的过程中,先发送验证请求至特定IP地址的服务器中“天盾服务端”程序进行验证,之后发送POST请求至特定网址获取X-Gorgon值,最后根据X-Gorgon、X-Khronos等参数值发送GET请求获取短视频平台服务器数据。
该案确立了具有避开或突破计算机信息系统安全保护措施、非法获取未开放数据的软件,属于专门用于侵入计算机信息系统的程序的裁判规则。在智能体场景中,若技能包被设计用于绕过企业系统的安全防护措施(如身份认证、访问控制)获取数据,即符合该罪的构成要件。
量刑档次:后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
在智能体的应用场景中,以下行为可能存在高法律风险,或涉及破坏计算机信息系统罪。
第一,数据删除与系统瘫痪。在开发运维场景中,若龙虾被诱导执行高危命令,如`rm -rf /`删除服务器数据、格式化存储设备,或停止关键服务进程,导致企业信息系统不能正常运行,即构成对计算机信息系统功能的破坏。
第二,交易系统的干扰破坏。在金融交易场景中,若攻击者利用龙虾的自动化交易功能,通过记忆投毒植入恶意交易策略,导致智能体频繁发出错误交易指令,干扰证券交易所计算机信息系统的正常运行,造成系统拥塞或价格异常波动。
第三,提示词注入导致的系统性破坏。攻击者通过提示词注入攻击,强制改变龙虾的核心功能逻辑,使其无法执行正常任务,相当于对智能体系统功能的干扰,若造成严重后果,可构成本罪。
该案是离职技术人员删库跑路的典型案例。被告人王某离职后,使用留存的最高权限账号密码登录原公司服务器,恶意删除金蝶系统、用友系统、邮件服务器、代理服务器、加密服务器及文件存储服务器的全部备份数据,导致企业信息系统全面瘫痪、生产经营陷入停滞。法院判处有期徒刑一年三个月。
该案对智能体警示在于:若智能体被赋予过高权限(如管理员权限),且缺乏操作审计与二次确认机制,一旦控制权被窃取,极易引发系统性破坏。文档中明确警示禁止授予管理员权限、重要操作启用人工审批机制,正是为了避免此类风险。
贺某酒后删除微盟集团服务器内全部数据,导致300余万用户无法正常使用该公司信息产品,造成经济损失2260余万元。法院认定后果特别严重,判处有期徒刑六年。
该案确立了经济损失+用户影响范围的双重认定标准。在金融交易场景中,若智能体失控导致错误交易,造成投资者重大损失或交易系统瘫痪,极易达到后果特别严重的认定标准。
案例七:姚晓杰等11人破坏计算机信息系统案(检例第69号)(广东省深圳市南山区人民法院)
“暗夜小组”从被告人丁虎子等3人处购买大量服务器资源,再利用木马软件操控控制端服务器实施DDoS攻击。2017年2—3月间,“暗夜小组”成员三次利用14台控制端服务器下的计算机,持续对某互联网公司云服务器上运营的三家游戏公司的客户端IP进行DDoS攻击。被告人通过DDOS网络攻击导致某互联网公司云服务器瘫痪。法院在计算经济损失时,不仅包括向客户退费金额(114,358元),还包括为恢复运营支出的工作人员工资费用(47,170元)。这表明,系统恢复成本、业务中断损失、应急处理费用均可计入犯罪数额。因此,若智能体被用于发动DDoS攻击或导致系统瘫痪,相关修复费用、应急人员工资均可计入犯罪数额。
量刑档次:情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
在智能体的应用场景中,以下行为可能存在高法律风险,或涉及侵犯公民个人信息罪。
第一,个人信息窃取。在个人助手场景中,智能体,如龙虾被赋予访问个人文件、管理数字资产的权限。若攻击者通过恶意技能包或提示词注入,诱导智能体读取用户的身份证件、银行账户、通讯录、聊天记录等个人信息,即构成非法获取公民个人信息。
第二,明文存储导致的泄露。若龙虾未按文档建议严格通过加密方式存储API密钥、配置文件、个人重要信息,导致个人信息以明文形式存储并被窃取,开发者或部署者可能因未履行安全保护义务而承担刑事责任。
第三,数据聚合后的识别。即使龙虾处理的单项数据已匿名化,但若攻击者利用AI技术重新识别匿名数据(如将分散的购物记录、位置信息、社交关系聚合还原为特定个人身份),根据2024年最高法指导意见,数量达5000条以上即属于情节特别严重。
被告人购买智能群发、加人、拉群的营销软件,非法添加微信好友,制作成品微信号出售。法院认定,微信号与手机实名绑定、与银行卡绑定,和自然人一一对应,属于公民个人信息。该案确立了账号关联性认定标准。
智能体管理的个人账户信息、API密钥、数字资产凭证等,均具有与微信号类似的身份识别功能,非法获取或可能涉罪。
量刑档次:根据盗窃数额累加,数额较大的处三年以下有期徒刑;数额巨大或有其他严重情节的,处三年以上十年以下有期徒刑;数额特别巨大或有其他特别严重情节的,处十年以上有期徒刑或无期徒刑。
第一,账户资金窃取。在金融交易场景中,攻击者通过身份认证绕过手段接管智能体控制的金融账户,自动化执行转账、提现等操作,将用户资金转移至控制账户。由于智能体具有自主执行能力,该行为符合秘密窃取的构成要件。
第二,数字资产盗取。若智能体被用于管理加密货币钱包、NFT资产等数字资产,攻击者通过技能包植入或提示词注入获取私钥,转移资产的行为构成盗窃罪。
第三,供应链攻击中的资产侵占。恶意技能包开发者在获取交易凭证后,并非立即转移资金,而是通过操纵智能体执行高频错误交易,制造市场波动后从中套利,该行为可能同时构成盗窃罪与操纵证券、期货市场罪。
目前尚未检索到AI智能体直接实施盗窃的判例,但司法实践中已有利用技术手段自动执行转账构成盗窃的先例。例如,利用银行系统漏洞自动转账、利用支付接口漏洞自动扣款等,均被认定为盗窃罪。利用智能体的自动化交易功能若被恶意利用,将直接落入此范畴。
量刑档次:根据诈骗数额累加,数额较大的处三年以下有期徒刑;数额巨大或有其他严重情节的,处三年以上十年以下有期徒刑;数额特别巨大或有其他特别严重情节的,处十年以上有期徒刑或无期徒刑。
第一,AI生成的精准钓鱼。攻击者利用智能体的自然语言生成能力,结合窃取的个人信息,生成高度定制化的钓鱼邮件、短信或社交消息,诱导受害者点击恶意链接、下载恶意附件或泄露敏感信息。
第二,深度伪造辅助的社交工程。若智能体集成语音合成、图像生成能力,攻击者可利用其创建逼真的深度伪造内容(如伪造老板语音指令转账),实施社交工程攻击。
第三,智能体作为诈骗工具。攻击者控制智能体后,利用其作为中介与受害者进行交互,以智能客服、投资顾问等身份实施诈骗。
虽然《最高人民法院、最高人民检察院关于办理诈骗刑事案件具体应用法律若干问题的解释》(法释〔2011〕7号)《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(法发〔2016〕32号)均未专门针对AI技术作出规定,也没有公开发布利用智能体辅助诈骗的案例,但是现实中利用AI换脸、深度伪造等新技术实施诈骗的案件频频出现,未来在上下游犯罪中,利用智能体辅助诈骗肯定会不断出现。
最高人民法院2026年2月26日的新闻发布会上发布的一起典型案例显示,2025年4月下旬,被告人吴某涛按照上线指令,乘车前往湖北省黄石市,以假冒的身份上门收取诈骗款。吴某涛来到被害人家后,当场拨通上线语音电话,再由上线利用AI拟声技术模拟被害人亲属声音,从三名老人处骗取现金共计6万元,后将上述款项交给他人,从中获利1700元。
在今年两会期间最高人民法院刑事审判第三庭庭长汪斌表示,为有效应对以上问题和挑战,人民法院对于明知他人从事电信网络犯罪,仍利用AI换脸、智能拟态、语音克隆等技术提供帮助,构成犯罪的,依法追究刑事责任。除刑事打击外,人民法院还将积极会同相关部门加强会商研究,推动对人工智能技术的规范管理,遏制人工智能技术的滥用,助力斩断犯罪帮助链条。
在智能体的应用场景中,以下行为可能存在高法律风险,或涉及帮助信息网络犯罪活动罪。
第一,提供恶意技能包。开发者明知他人将利用智能体实施犯罪,仍制作、销售包含恶意代码的技能包,为他人犯罪提供技术支持。
第二,分发第三方镜像版本。攻击者制作包含后门的智能体第三方镜像版本,通过开源社区、网盘等渠道分发,供他人下载后实施犯罪。
第三,提供自动化攻击工具。利用代码生成能力,开发专门用于网络攻击的脚本、工具(如自动化撞库工具、漏洞扫描器),并提供给他人使用。
第四,技术支持与维护。为实施犯罪的团伙提供部署指导、技术调试、故障排除等帮助行为。
案例九:熊某某等帮助信息网络犯罪活动案(湖南省岳阳市中级人民法院(2022)湘06刑终126号刑事裁定书)
熊某某编写AI智能机器人程序,预先制作、提供含有“某证券”等单位名称金融、证券等类型的话术包,在未审查客户资质的情况下,供客户自由挑选使用,并根据客户的需求随意对话术包进行修改,针对AI智能语音客服系统拨打电话时所使用的电话号码被标记为“诈骗”等电话后,采取更换线路商、更换电话号码等方式逃避监管;熊某某安排刘某某、张某等多名员工通过银行卡、网络支付账号收取客户支付的费用,并要求刘某某、张某等多次取现交给自己;在刘某某因涉嫌犯罪被公安机关调查后,熊某某召集员工开会,要求删除与客户的聊天记录、收款记录等信息,继续从事犯罪活动,熊某某的行为构成帮助信息网络犯罪活动罪。
比如,在“龙虾”智能体场景中,技能包开发者若未审查代码安全性即上传至ClawHub,或明知技能包被用于犯罪仍提供更新维护;或者开发OpenClaw技能包或自动化脚本,制作针对金融交易场景的恶意技能包按攻击者要求定制提示词注入攻击脚本ClawHub技能市场未审核开发者身份及代码用途;技能包被下架后更换账号重新帮助上传指示删除日志、销毁攻击痕迹,可构成帮助信息网络犯罪活动罪。
量刑档次:处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
在智能体的应用场景中,以下行为可能存在高法律风险,或涉及拒不履行信息网络安全管理义务罪。
第一,智能体提供商的失职。智能体官方或第三方平台运营者,未履行《网络安全法》第21条、第25条规定的安全保护义务,如未建立技能包安全审核机制、未及时发现并处置恶意技能包、未配合监管部门调查等,经监管部门责令改正而拒不改正,导致违法信息大量传播或用户信息泄露造成严重后果。
第二,企业用户的合规失职。企业部署智能体后,未按采取安全防护措施(如未隔离部署、未启用日志审计、未限制权限),经监管部门指出后拒不整改,导致内网被渗透、敏感数据泄露。
第三,漏洞处置不作为。收到官方发布的安全漏洞预警后,未及时修补漏洞,导致智能体被大规模攻击利用。
案例十:远特(北京)通信技术有限公司拒不履行信息网络安全管理义务案(昆明市盘龙区人民法院)
2016年12月21日,远特(北京)通信技术有限公司因违反《电话用户真实身份信息登记规定》第六条被辽宁省通信管理局处以三万元人民币罚款,并责令立即改正;2017年1月10日工业和信息化部网络安全管理局在《关于电话用户真实身份信息登记违规行为的通报》中,对抽查远特(北京)通信技术有限公司部分网点违反实名制问题进行了通报,提出立即进行整改并严格落实电话用户登记工作的有关规定;2017年2月21日工业和信息化部办公厅《关于防范打击通信信息诈骗工作专项督导检查情况的通报》中对远特(北京)通信技术有限公司检查存在的“电话实名工作落实情况”问题进行了通报,并要求进行整改。以上相关部门的处罚及责令改正情况均与违反实名制规定有关。被告人李小全负有查验、评估、审核行业卡使用情况的职责,在明知违反实名制管理规定的情况下,仍然将大量带有公民个人信息的回收卡交给亚飞达信息科技股份有限公司,违反用户实名制进行挑卡,造成严重后果,且在两年内经监管部门多次责令改正而拒不改正。
这是我国电信运营商因手机卡实名制监管不到位,造成电信网络诈骗犯罪严重后果发生而获刑的判例。该公司因未履行电话用户实名制、行业卡安全管理等规定,导致3万多张电话卡被用于盗取微信、QQ账号并实施诈骗。该案对OpenClaw智能体提供商具有警示意义:平台方若未建立有效的安全审核机制(如技能包代码审查、开发者实名认证、恶意行为监测),导致平台被大规模用于犯罪,即可能构成此罪。
被告人胡某2015年7月至2016年12月30日间,租用国内、国外服务器,自行制作并出租科学上网软件,为境内2000余名网络用户非法提供境外互联网接入服务。2016年3月、2016年6月上海市公安局浦东分局先后两次约谈被告人胡某,并要求其停止联网服务。2016年10月20日,上海市公安局浦东分局对被告人胡某利用上海丝洱网络科技有限公司擅自建立其他信道进行国际联网的行为,作出责令停止联网、警告、并处罚款人民币15,000元,没收违法所得人民币40,445.06元的行政处罚。
此后,被告人胡某2次被行政约谈并责令整改经营内容,拒不改正,于2016年10月至2016年12月30日,继续出租软件,违法所得共计人民币236,167元。法院认定其构成拒不履行信息网络安全管理义务罪。
1. 手段与目的竞合:非法获取数据后实施盗窃,通常择一重罪(盗窃罪)处罚;但若数据本身具有独立价值(如商业秘密),可能数罪并罚。
2. 平台责任竞合:平台方同时构成拒不履行信息网络安全管理义务罪与帮助信息网络犯罪活动罪时,依照处罚较重的规定定罪处罚(通常帮信罪刑罚更重)。
3. 单位与个人责任:企业违规部署智能体导致重大事故,实行双罚制——对单位判处罚金,对直接负责的主管人员和其他直接责任人员追究刑责。
1. 已履行安全评估义务:部署前进行充分安全测试,留存测试报告,可证明无主观故意。
2. 遵循最小权限原则:按文档要求限制智能体权限,未授予管理员权限,可减轻或免除责任。
3. 建立应急响应机制:发现安全事件后立即断开网关、重置密码、留存日志,可证明已履行处置义务。
4. 及时修补漏洞:关注官方安全公告并及时更新,可反驳拒不改正的指控。
技术赋能之下,风险亦如影随形。智能体所涉罪名,从数据窃取到系统破坏,从个人信息侵害到平台失职,无论是开发者、部署者还是运营方,唯有将合规内化发展基因,方能在AI浪潮中行稳致远,避免技术红利沦为罪责枷锁。
刘洋律师,律所高级合伙人,盈科全球数字经济法律服务中心北京中心主任,北京市盈科(海淀区)律师事务所网络犯罪辩护部主任。
特别提示:本文基于公开司法案例与现行法律法规整理,仅供法律研究与风险防范参考,不构成对特定案件的法律意见。具体案件请咨询专业律师。本文撰写时利用了AI工具生成。
