數發部提醒自動化工具潛在危險 應審慎評估資安

記者郭曉蓓／臺北報導

開源 AI 代理 OpenClaw 近期爆紅，但熱潮之下，安全疑慮也隨之浮現。數發部表示，電商平台上也開始出現販售的「OpenClaw」商品，主打「一插即可使用」，提醒民眾應特別留意其來源、權限需求與實際用途，並審慎評估資訊安全與財務風險，以降低潛在危險。

「OpenClaw」被社群暱稱為「小龍蝦」，是一款在 2026 年初爆紅的開源自主 AI 代理 (AI Agent) 工具，不只會聊天，還能自主執行任務，包括管理行事曆、幫你回信、瀏覽網頁、執行程式碼，甚至串接外部服務等，有的人讓它監控股市自動下單，也有人把它安裝在隨身的小型裝置上隨時攜帶，就像養的是一個會幫你做事的 AI。

數發部表示，在社群與科技圈引發討論的「OpenClaw」能直接執行指令，依需求完成一連串任務流程。電商平台上也開始出現販售的「OpenClaw」商品，主打「一插即可使用」，強調免設定即可開始操作。然而，這類預先安裝的版本可能隱含風險，使用者無法完全掌握程式的運作內容與權限設定，若工具涉及登入、付款或個人資料填寫，可能提高資料誤傳、權限濫用或敏感資訊外洩的可能性。

數發部表示，若自動化工具被設定為處理交易、訂單流程或帳號操作，在來源不明或功能理解不足的情況下，也可能產生非預期的交易行為。數發部提醒民眾在電商平台接觸相關商品時，應特別留意其來源、權限需求與實際用途，並審慎評估資訊安全與財務風險，以降低潛在危險。

因應OpenClaw 伴隨安全疑慮，數發部資安署也提醒使用者導入OpenClaw時，應落實資安防護與環境隔離。若AI代理必須登入外部服務，建議設定具有時效性的臨時授權憑證；在安裝任何第三方技能擴充套件前，應親自審查及安全掃描； 針對高風險操作，如存取憑證、發送郵件或執行系統指令，應於系統設定中強制啟用人工審核；務必將重要的安全限制，例如刪除郵件前必須經過人員同意，可直接寫入「核心記憶檔案」。AI代理技術能帶來顯著的創新效益，但須在「環境隔離」、「人工審核」的前提下進行測試與應用，才能兼顧數位發展與資訊安全。