OpenClaw 爆紅後,企業怎麼導入才不失控?KPMG 謝昀澤:要限權、不碰錢、人要在、防作怪
專訪:沈貝怡
撰稿:李昀蔚
從 2026 年開年以來,OpenClaw 幾乎成為 AI 圈最熱門的關鍵字之一,甚至延伸出「你養龍蝦了嗎?」這樣的流行問候語。本集《全新一週》特別邀請 KPMG 安侯企業管理股份有限公司董事總經理謝昀澤,從親自「養龍蝦」的經驗出發,逐步拆解 OpenClaw 的資安挑戰與企業必備的治理思維。
「我覺得 OpenClaw 應該算是一個入口革命,」謝昀澤分析,過去人們使用電腦,是自己打開 Email、瀏覽器、搜尋引擎、Word 或 Excel,再一個步驟一個步驟完成工作;相較之下,OpenClaw 的使用方式不同,使用者只要透過 Telegram 這類通訊軟體下指令,就能讓它代替自己操作電腦、開啟程式、查資料、收集資訊、分析內容,甚至回信、排行程、做更複雜的整理工作。
謝昀澤形容,若把 ChatGPT 想成坐在冷氣房裡回答問題的顧問,那麼 OpenClaw 更像是一個會直接執行任務的數位助理。從更專業的角度來說,它其實不是全新的概念,而是把 RPA 的流程自動化能力,與 LLM 的生成式 AI 能力結合在一起,不只是「知道答案」,而是進一步把事情「做出來」。
不是下載就能用這麼簡單:實測揭開「養龍蝦」背後的成本與技術門檻
謝昀澤進一步從自己實際「養龍蝦」的經驗出發,說明 OpenClaw 與傳統生成式 AI 的差異。例如,先前只是想請 OpenClaw 幫忙規劃布拉格旅遊行程,原本希望得到一份簡單行程表,結果隔天卻發現,OpenClaw 不只找了景點,還主動整理餐廳營業時間、菜單翻譯、治安數據、匯率走勢、旅遊成本與住宿資訊,最後變成一份近乎「布拉格觀光白皮書」等級的報告。
問題在於,這些額外工作並不是沒有代價。謝昀澤提到,當 OpenClaw 在執行任務過程中遇到網頁打不開、頁面變動、認證機制等障礙時,往往會反覆重試,或因為任務太長而忘記自己先前查過什麼,導致一整晚持續自主加班,也同步燒掉大量 Token 與 API 費用。
因此,謝昀澤也提醒,很多人誤把 OpenClaw 當成像 ChatGPT 一樣,下載安裝後就能直接使用的 App,但實際上並非如此。常見問題包括安裝過程繁瑣、開源軟體本身有不少 Bug、外掛與設定常出問題,甚至還發生過 OpenClaw 自己修改設定檔、把自己搞死的狀況。
更重要的是,任務成功率也沒有外界想像得那麼高。無論是訂票、訂飯店還是搶演唱會門票,透過實測可以發現,在台灣網站幾乎都很難成功,因為多數商業網站本來就是設計給人操作,而不是給機器人使用,甚至有大量防機器人的驗證機制。因此當 OpenClaw 這種自動化代理程式要去執行本來就禁止機器人進行的行為時,自然會在現實數位世界裡遇到很大的衝突,也進一步形成「棄養潮」。
而且,棄養也不代表事情結束。謝昀澤說,刪除 OpenClaw 不像解除安裝 App 那麼簡單,因為 OpenClaw 可能已經知道使用者許多 Email、行事曆、權限與憑證資訊。因此若要完整解除安裝,往往還要移除 API Token、帳號憑證、Cache、Cookie 等資料,成本很高,甚至還衍生出付費請人幫忙解安裝的服務。
NemoClaw 不是新龍蝦,而是讓 OpenClaw 更適合企業部署的治理工具
談到 NVIDIA 在 GTC 上推出的 NemoClaw,謝昀澤表示,它其實不是全新的工具,而是套在 OpenClaw 上的一層強化版能力,用途就是解決原本 OpenClaw 的兩大問題:不安全、難安裝。
謝昀澤指出,NemoClaw 的核心,是透過 OpenShield 等相關工具加上安全政策與護欄,規範代理式 AI 在企業中哪些地方可以去、哪些資料夾可以讀、哪些動作可以做,例如「刪除」這類高風險操作就可以被限制。換句話說,NemoClaw 不是另一隻新龍蝦,而是讓 OpenClaw 更適合企業部署的治理工具。
謝昀澤認為,NemoClaw 背後更大的戰略意義,是提醒企業:OpenClaw 可以被視為 AI 的個人作業系統。過去作業系統承載的是各種應用程式,未來這樣的 AI 作業系統,承載的則可能是各種代理程式與 AI 勞動力。因此,企業未來不只要看人才、流程、資訊與系統,還要開始看自己能驅動多少 AI 幫忙做事。
謝昀澤進一步指出,若企業此時沒有合適的 AI 策略,最直接的差距就會體現在生產力與效率。例如,同樣一件事情,如果同業只要幾秒鐘、花一些 Token 就能完成,而自己還要投入大量人力與時間,效率差距自然會快速拉開。再加上全球企業普遍面臨勞動力不足、人才難找難管的問題,只要 AI 是安全且可控的,就可能成為企業重要的作戰資源與策略部署工具。
AI 代理的風險不只一種:謝昀澤拆解 OpenClaw 的四大資安隱憂
談到 OpenClaw 可能帶來的資安問題,謝昀澤歸納出四大主要風險。第一類是提示詞注入(Prompt Injection),例如原本只是要它去某個頁面查資料,結果 AI 卻照著惡意提示,提供系統金鑰或敏感資訊,讓 AI 被騙。
第二類是指令誤判。謝昀澤指出,人類本來就常說模糊、帶有言外之意的話,很多時候連人都不一定判斷準確,更何況是 AI。因此當使用者要求 AI 整理資料、更新名單時,代理式 AI 有可能誤刪資料、覆蓋名單,這其實是一種先天風險。
第三類是外掛投毒。由於 OpenClaw 要執行更多任務,必須安裝各種 Skill 來驅動現成應用程式,但過去幾個月已經發現不少外掛內含木馬程式,不只可能讓 OpenClaw 中毒,也可能連帶影響電腦本身。雖然新版 OpenClaw 已開始加入針對 Skill 的審查機制,讓額外技能的執行需經過人確認,但這本身就說明風險的存在。
第四類則是系統本身的漏洞。謝昀澤提到,OpenClaw 先前就曾被發現存在漏洞,如果本機端安裝 OpenClaw,又剛好進入惡意網站,密碼帳號等資訊就可能因此外洩。
然而,謝昀澤也強調,真正的問題不是 OpenClaw 能不能用,而是怎麼治理。既然企業想要 AI 幫忙做事,就不可能完全不給權限,因此更重要的是先建立正確的使用方式。
導入 OpenClaw 的三個治理原則
謝昀澤提出三個簡單但關鍵的治理概念。第一,是把 OpenClaw 養在「安全魚缸」裡,也就是沙盒或虛擬機中,先與企業核心系統隔離。
第二,是做好權限控制,也就是最小必要權限。企業必須先規範清楚,哪些地方 OpenClaw 可以去、哪些事情可以做,因為權限如果過大,就可能做出超出預期的動作。
第三,是建立回復機制。即使前面做了隔離與限權,仍然可能出現意外,因此企業還是要有一套能在 OpenClaw 亂刪、亂跑、亂動時,讓事情恢復原狀的方式。
企業導入 AI 代理應該要「冷靜實驗」,先從可控的小規模試點開始
面對 OpenClaw 的效益與伴隨而來的治理挑戰,企業應該要冷靜觀望,還是大膽嘗試?謝昀澤的答案是取中間值,也就是「冷靜實驗」或「冷靜嘗試」,並認為企業應該先檢查兩個基本條件。
第一,是「水質」要顧好。對企業來說,這代表數據品質、流程 SOP 與既有資安基礎,如果數據不乾淨、流程不清楚、原本的數位應用成熟度也不夠,任何 AI 應用都很難成功。第二,是看企業本身對生成式 AI 的成熟度,如果這兩三年來已有較成熟的應用與成功案例,那麼此時就可以考慮做有限度的小規模實驗。
謝昀澤也進一步提醒,企業必須先認知一個事實:AI 與代理式 AI 目前仍然是燒錢、難養、會闖禍、也會翻車的技術,因此在想嘗試的前提下,還是應該從隔離環境與權限控制開始,先不要把最核心的資料接上 AI,而是從周邊、跨系統但非核心的應用場景慢慢實驗。同時,在進行這類實驗時,謝昀澤也建議企業必須緊記「要限權、不碰錢、人要在、防作怪」的十二字箴言,確保流程中始終保有「人要在(Human in the loop)」的審核把關機制,才不會不小心養出一大群數位內鬼。
至於個人使用者,如果很想體驗代理式 AI,但技術能力不足,謝昀澤則不建議直接上手 OpenClaw,因為成本與風險都太高。他提到,目前市面上已有 Manus 這一類相對成熟的代理式 AI 工具,可以先作為個人或企業的小型試點,幫助理解代理式 AI 到底能做到哪些事。
在 OpenClaw 帶動的 AI 代理熱潮下,真正值得企業思考的,不只是要不要跟上這股趨勢,而是能否在看見生產力紅利的同時,也建立起相應的治理方法、權限邊界與實驗原則。