個人資料私隱專員公署昨日發出警示，關注近期備受熱議的OpenClaw（龍蝦）及其他代理式人工智能（Agentic AI）所帶來的個人資料私隱及安全風險，提醒機構及市民在部署或使用相關工具前必須充分了解潛在風險，慎防個人資料外洩、系統被惡意接管，以及網絡安全風險，並採取充足及有效的安全措施，以保障個人資料私隱。

此外，創新科技及工業局局長孫東昨日表示，數字政策辦公室已即時提醒政府各個部門，現階段不要在與政府網絡連接的電腦上安裝OpenClaw。\大公報記者 華英明

孫東表示，特區政府近年來一直密切留意人工智能的發展、趨勢，以及可能帶來的相關安全風險，包括近期受到廣泛關注的OpenClaw人工智能體。他關注到OpenClaw在提供AI輔助應用的同時，也可能帶來一些風險，例如權限過高、資料外洩、系統遭入侵等潛在保安隱患。考慮到OpenClaw可能帶來的一些不確定性，特別是風險方面，數字辦已經即時提醒政府各個部門，現階段不要在與政府網絡連接的電腦上安裝OpenClaw應用程式。

裝程式前須作保安評估

孫東指出，政府早前已經制訂了一套完善的《政府資訊科技保安政策及指引》，供政府各個部門參照，明確要求在政府部門內，安裝任何軟件程式，必須要進行嚴格的保安評估，而且要跟從有關指引。他並建議政府以外的機構和個人用戶，在部署使用OpenClaw的時候採取足夠的安全措施，包括於其他運行環境進行嚴格隔離，加強憑證管理，以及持續關注官方發布的補丁和安全更新等等，以降低相關風險。

私隱專員公署指出，代理式AI與一般主要用於文字回覆、內容總結或生成的AI聊天機械人不同，其用途更為廣泛。這類工具通常為可部署於本機裝置或伺服器上的高權限AI代理，能夠讀寫本地檔案、調用系統資源、操作外部服務，甚至可按預設流程代替用戶自主執行多步驟任務，例如處理電郵、餐廳訂座、繳交費用等，過程中毋須用戶即時參與。

公署強調，從保障個人資料私隱的角度而言，代理式AI的相關風險比一般AI聊天機械人更高，主要體現在以下幾方面：權限過高風險、系統漏洞風險、第三方插件風險。為協助機構及市民安全使用代理式AI，私隱專員公署提出以下建議：

授予最小權限防洩資料

授予最小權限：用戶應小心考慮所涉個人資料的性質及敏感性，不應隨便向代理式AI提供個人資料，尤其是機密或敏感資料（如身份證明文件、銀行戶口號碼及密碼等）。應只授予完成任務所需的最小權限，避免授予管理員賬號權限。

使用官方最新版本：用戶應從官方渠道下載代理式AI的最新版本，避免使用第三方版本或陳舊版本，以減低因系統漏洞未被修補而發生資料外洩事故的風險。

確保系統及資料安全：例如將運行環境隔離於本機裝置或伺服器，加強網絡控制，嚴格限制互聯網暴露面，降低權限，建立有效的防護機制。

審慎安裝及使用Plugins或Skills：核實相關程式為官方最新版本，確保程式安全性；審視程式有否惡意代碼，如不確定安全性，應避免使用。

持續評估風險：用戶應持續評估所涉風險，留意代理式AI是否要求執行高風險操作。若代理式AI的決定可能對個人造成重大影響，用戶應考慮採取「人在環中」策略，在發送數據、修改系統配置等決策過程中保留最終控制權。