近期OpenClaw（龍蝦）AI智能體工具掀起熱潮，被稱為「最強AI助手」。私隱專員公署今日（16日）表示關注事件，提醒機構及市民在部署或使用OpenClaw以及其他代理式AI前，應留意並了解所涉及的個人資料私隱及安全風險，並授予代理式AI完成任務所需的最小權限，慎防個人資料外泄、系統被惡意接管，以及網絡安全風險，並採取充足及有效的安全措施，以保障個人資料私隱。機構可參考私隱專員公署發布的《人工智能 (AI)：個人資料保障模範框架》。

私隱專員公署指出，代理式AI與一般主要用於文字回覆、內容總結或生成的AI聊天機械人相比，用途更為廣泛。代理式AI通常為一個可部署於本機裝置或伺服器上的高權限 AI 代理工具，能夠讀寫本地檔案、調用系統資源、操作外部服務，甚至可按預設流程代替用戶自主執行多步驟任務，例如處理電郵、餐廳訂座、繳交費用等，有關過程毋須用戶即時參與。

代理式AI預設存取權更高　增資料外泄風險

從保障個人資料私隱角度，代理式AI的相關風險比一般AI聊天機械人更高。公署解釋，代理式AI的預設存取權限一般較 AI 聊天機械人為高，可存取使用者裝置上的檔案、電郵、帳戶憑證及瀏覽器內儲存的內容等。若相關權限設定欠缺嚴格限制，代理式AI可能接觸到大量涉及用戶或其他人士的個人資料，增加第三方未經授權查閱、複製以至外泄個人資料的風險。同時，代理式AI亦可能因錯誤理解用戶指令，而誤刪用戶重要資料，例如誤刪用戶所有電郵紀錄。再者，一旦在系統設計或安全控制上出現漏洞，將對個人資料私隱及整體資料保安構成重大風險。

公署又表示，若代理式AI容許用戶安裝各類Plugins或Skills，而當中有程式並未經過嚴格的安全審核，相關程式可能夾帶惡意程式碼。黑客可藉此入侵並接管用戶帳戶，甚至進一步控制整個電腦系統，從而導致個人資料及其他敏感資料外泄。

公署籲授予代理式AI最小權限

私隱專員公署建議機構或市民在使用代理式AI收集、使用及處理個人資料時，特別留意以下幾點：

．授予代理式AI最小權限：用戶應小心考慮所涉及個人資料的性質及敏感性，不應隨便向代理式AI提供個人資料，特別是機密或敏感性的個人資料（例如身分證明文件、銀行戶口號碼及密碼等）。應只授予代理式AI完成任務所需的最小權限，避免授予AI使用管理員帳號的權限；

．使用官方最新版本：用戶應從官方渠道下載代理式AI的最新版本，避免使用第三方版本或陳舊版本，以減低因為系統漏洞未被修補而發生資料外泄事故；

．採取足夠措施確保系統安全及資料安全，例如將運行環境隔離於本機裝置或伺服器，加強網絡控制，嚴格控制互聯網暴露面，降低權限，建立有效的防護機制；

．審慎安裝及使用Plugins或Skills：核實相關程式為官方最新版本，以確保程式安全性；審視程式有否惡意代碼，如不確定程式的安全性，應避免使用；及

．持續評估風險：用戶應持續評估所涉及的風險，留意代理式AI是否要求執行高風險操作，若代理式AI的決定很可能對個人造成重大影響時，用戶便應考慮採取「人在環中」的策略，在發送數據、修改系統配置等決策過程中保留作出決定的最終控制權。