首页 > 滚动

让智能体真正做到可用可控可追责

2026-07-06 07:02 来源:南方日报
查看余下全文
(责任编辑:臧梦雅)
首页 > 滚动

让智能体真正做到可用可控可追责

2026年07月06日 07:02 来源:南方日报 邓玉辉 杨其奋
[字号 ]

一段时间以来,被网友称为“小龙虾”的OpenClaw迅速走红,让智能体这一前沿科技概念真正走进了大众的视野,也迅速引发了标准化与安全治理层面的回应。7月1日,全国网络安全标准化技术委员会发布《网络安全标准实践指南——智能体部署使用安全指引》,表明这类智能体已不再只是技术热点,而是开始进入规范部署和安全治理的视野。与此同时,智能体领域也在加快从“接入工具”走向“可靠执行”。例如,谷歌推出Gemini Enterprise Agent Platform,微软推出Windows 365 for Agents。国家网信办等部门联合印发《智能体规范应用与创新发展实施意见》,提出坚持安全可控、规范有序、创新驱动、应用牵引,并从技术底座、安全治理、应用场景和创新生态四个方面作出部署。

随着热度逐步回归理性,社会对智能体的评价标准也在发生变化。人们不再只关注它能否完成一项令人惊艳的操作,而更关心它能否在真实、长期和复杂的工作环境中保持稳定,能否在面对模糊指令、异常情况和敏感信息时守住边界。热度的回落并不意味着智能体价值的下降,恰恰说明其正在从概念展示走向工程验证,从“看起来很聪明”转向“用起来是否可靠”。

从指令到行动

OpenClaw如何形成任务链

从大模型到“小龙虾”,表面上是技术形态的变化,实质上是人工智能角色的转变:人工智能正在从“会聊天”,走向“能干活”。

OpenClaw的运行,并非简单地将用户问题抛给大模型并返回一段回答,而是建立了一套围绕目标展开的任务组织机制。当用户提出需求后,系统会首先洞察其真实意图,随后借助大模型的规划能力,将较为笼统的目标拆解为若干可执行环节,形成具备逻辑先后与条件关联的工作流。由此,用户的一句话会被转化为一套可以执行、反馈、调整的工作流。

在这一工作流中,大模型承担的是理解和规划职责,OpenClaw承担的是调度和执行职责。处理邮件需要邮箱工具,安排日程需要日历工具,分析文件需要文件读取工具,编写代码可能需要代码运行环境,查找资料则可能需要浏览器或搜索工具。OpenClaw会根据当前的任务节点,精准调用对应的外部工具,并把工具返回的结果重新交给大模型判断。由此,系统形成了“目标识别—任务拆解—工具调用—结果反馈—路径调整”的闭环,而不是一次性的问答过程。

这种工作流的意义,在于把大模型的语言能力转化为连续行动能力。它的核心在于能否将用户目标、大模型判断、工具执行和人工干预,紧密编织成一条稳定可靠的执行链条。在实际运行中,系统可以自动完成低风险的繁琐步骤;但对于发送邮件、修改数据、提交材料等高风险的实质性操作,则必须在工作流中设置确认节点,将最终决定权交还给用户。也正因如此,当人工智能的触角从纯文本的交流延伸到真实的系统操作时,如何把控这套复杂机制带来的现实风险,就成了不可回避的治理焦点。因此,智能体真正稀缺的能力并不只是“会做”,更在于“知道何时不该做”。当信息不足、目标冲突或任务超出授权范围时,系统应能够主动暂停、说明原因并请求人工确认,而不是为了完成任务而勉强行动。对于智能体而言,适度的克制并非能力不足,而是可靠性的重要组成部分。

从文本到操作

OpenClaw面临哪些新风险

正因为OpenClaw能够将大模型的能力无缝嵌入工作流,其风险形态也发生了质变。传统大模型的错误,通常表现为文本层面的失真、遗漏或误判;而智能体系统一旦接入外部工具,就可能把文本错误进一步转化为切实的现实操作风险。此时,问题不再局限于“回答是否准确”,而进一步关系到“执行是否可靠”。任何一次理解偏差、判断错误或权限失控,都可能带来直接的现实损失。

最直接的隐患是“误操作”。这种风险源于智能体对任务状态的连续判断。如果模型在初期误解了用户意图,系统就可能沿着错误路径继续执行。对于普通问答而言,错误答案仍可由用户修改或舍弃;但对于智能体而言,现实操作一旦触发,往往不易撤回。

其次是过度授权带来的数据与系统安全风险。国家互联网应急中心曾发出提示,OpenClaw这类智能体为了实现自主执行任务,通常会被授予访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口、安装扩展功能等较高权限。权限是智能体执行任务的前提,也是风险集中的入口。如果权限配置过宽,系统极易触碰到超出任务需要的敏感数据。同时,OpenClaw的能力并不只来自大模型本身,还取决于其连接的工具、安装的插件和开放的接口。如果插件来源不明、接口权限过大、运行环境缺少隔离,外部工具就可能成为新的风险入口,甚至造成敏感信息外传。此外,OpenClaw在执行任务时还可能读取网页、邮件、文档、代码仓库等外部信息,如果这些内容中夹带误导性指令或恶意提示,模型就可能在任务执行过程中受到干扰。可以看出,智能体的安全风险并不单纯来自模型本身,而是由高权限访问、工具链扩展和外部信息输入共同叠加形成。对个人用户而言,这可能涉及隐私保护;对企业、高校和公共部门而言,则可能涉及内部文件、科研资料、商业秘密和公共数据安全。

另一个挑战在于决策过程“不透明”与溯源困难。OpenClaw的任务执行往往由多轮模型判断、多次工具调用和多次结果反馈共同组成。系统可能先读取文件,再提取要点,随后调用浏览器补充信息,最后生成摘要、修改文档或执行其他操作。在这一过程中,大模型的推断、外部工具的返回结果、网页或文档中的信息,以及用户最初的指令会不断交织在一起。对用户而言,这通常是一个不透明的执行过程,一旦结果出错,很难界定问题究竟出在模型理解、工具故障,还是外部信息本身。这种溯源的困难,直接导致了责任界定的模糊。

最后,是对人类主体责任的弱化。用户用大模型进行写作、总结、翻译和方案生成,尚能保持对内容的最终把控。但OpenClaw将这种依赖推向了实际操作层面,用户可能更容易把复杂工作直接交由系统处理,减少对过程的监管。长此以往,人类的专业敏感性和关键判断能力可能会被削弱。这也说明,OpenClaw的风险并不只在技术本身,更在于人、机器、工具和责任之间的边界需要重新厘清。

从完成到可靠

在技术创新与规范治理之间找到平衡

首先,评价智能体不能只看“任务完成率”,还应更加关注其“可信完成率”。这需要进一步考察其是否在授权范围内完成,是否调用了必要且可信的信息,是否经过关键节点确认,以及出现异常后能否及时停止、撤回和追溯。只有把效率、边界与责任共同纳入评价,智能体的实际价值才经得起检验。

在此基础上,使用智能体还需要培养一种全新的“智能体素养”。既要善用其自动化优势,将资料整理、文本摘要、代码辅助等重复性、流程性工作交由系统处理;也要清醒认识到其潜在的误判风险。对于邮件发送、财务处理、医疗科研、法律文本和政务审批等高风险、不可逆场景,应当保留人工确认环节。智能体可以用于提高工作效率,但最终判断、最终授权和最终责任仍应由人承担。

在具体使用中,应坚持最小权限原则,严格按照具体任务的需求,精准开放读取、修改、删除、发送、运行代码等不同权限,避免智能体在用户不知情的情况下接触敏感数据。对个人用户而言,应避免将隐私文件、账号密钥和重要资料长期暴露在智能体可访问范围内;对企业、高校和公共部门而言,则应对内部文件、科研数据、业务系统和公共数据进行分类管理,明确哪些内容可以调用、哪些内容需要审批、哪些内容不得接入。同时,对于重要任务,还应保留操作日志、引用来源和版本痕迹,便于事后复核。过程透明,结果才更容易被信任;行为可追溯,责任才可能被清晰界定。

此外,未来的智能体也未必需要被塑造成无所不能的全能助手。相较于将检索、写作、审批、财务处理等不同任务集中交给同一系统,更可行的方向是由多个职责清晰、权限有限的智能体协同配合,而涉及重要决策和外部操作时仍由人作最终授权。通过角色分工和相互制衡,可以在提升效率的同时降低单点失误和权限失控的风险。

未来,智能体能否真正可信可用,不仅取决于底层模型与工具生态的迭代,更取决于权限管理是否清楚、运行过程是否透明、责任边界是否明确。唯有在技术创新与规范治理之间找到平衡,让智能体真正做到可用、可控、可追责,它才不会沦为新的风险源,而是真正服务于千行百业的得力助手。

(作者单位:暨南大学信息科学技术学院)

(责任编辑:臧梦雅)