過去兩個月,科技圈熱議「養龍蝦」。騰訊、阿里、Baidu 相繼推出相關產品,深圳龍崗更頒布「龍蝦十條」,符合條件的種子期項目最高可獲人民幣 1,000 萬元(約港幣 1,080 萬元)股權投資。奇怪的是,幾乎沒有企業願意公開表示「我們採用 OpenClaw 解決業務問題,ROI 達多少」。港企也有很多被其所吸引,但目的為何,成本效益等全不清楚。現有一個相對安全的方法,企業可先行體驗。
OpenClaw 現況:功能強大但安全隱患令企業卻步
OpenClaw 屬開源 AI 智能體框架,即能跨應用、跨系統執行多步驟任務的 AI 工具,協助搜尋資料、整理文件、自動發送電郵及填寫表格,全程毋須人手逐步操作。這方向反映 AI 應用的重要趨勢。
問題在於 OpenClaw 設計容許 AI 取得電腦操作權限,此開放性同時成為主要安全風險。
今年 1 月底,安全研究人員發現極高風險漏洞(CVE-2026-25253)。攻擊者誘使用戶開啟惡意網頁,數毫秒內即可完全控制對方電腦,竊取所有認證憑證。修補該漏洞後,新漏洞仍陸續出現,本月已披露多個高風險漏洞,涉及遠端執行任意程式碼、檔案系統越界存取及身份認證繞過等類型。
外掛市場 ClawHub 同樣存在嚴峻問題。安全公司 Koi Security 審計 ClawHub 上 2,857 個外掛,發現 341 個屬惡意軟件,其中 335 個源自同一協調攻擊行動,專門竊取用戶密碼及敏感資料。截至 2 月中旬,惡意外掛數量已增至 800 個以上,並持續上升。
技術門檻亦不容忽視。自行部署 OpenClaw 環境需處理伺服器設定、軟件環境及持續跟進安全更新,即使設有 IT 團隊的企業亦難以輕易完成,更須符合行業合規要求。
因此至今未見企業商業應用案例:風險明確,門檻過高,ROI 難以計算。Baidu 執行副總裁沈抖發布自家產品時亦坦言:「這隻龍蝦尚未完善。」
DuMate 成首個企業級國產 OpenClaw 方案
Baidu 智能雲昨日正式全量開放 DuMate,屬國內首個企業級 OpenClaw 產品,支援本地部署。
DuMate 中文名「搭子」,即員工的 AI 工作夥伴。安裝於公司電腦後,能跨應用執行辦公任務,讓 AI 智能體融入日常工作流程,而非僅於聊天介面回答問題。
此產品值得企業決策人留意,原因在於市場上少數方案能認真回應「企業為何不敢用 OpenClaw」此問題。
DuMate 針對企業兩大核心顧慮提出對應方案
AI 智能體操作範圍如何管理
DuMate 預設安全沙箱,程式碼、任務及檔案於隔離環境閉環執行,不影響本機系統,數據亦不外洩。智能體操作限於特定範圍,毋須擔心隨意存取或修改電腦其他部分。此設計直接解決 OpenClaw 原生部署中「AI 可於本機自由行動」的主要風險。
針對刪除檔案、修改系統或外發數據等高風險操作,DuMate 強制要求用戶明確授權方可執行,關鍵動作必須經人手確認,避免 AI 擅自作出重要決定。
惡意外掛風險如何規避
DuMate 內置 Baidu 自家 Skill 如百度搜索,開箱即用,原生支援 Word、Excel、PowerPoint 等主流辦公軟件格式。員工日常所需核心功能毋須從公開市場下載外掛,從根本上避開 ClawHub 惡意外掛問題。
企業數據會否外洩
DuMate 採用資料夾級別權限控制,高風險操作需二次確認,數據不離開裝置,並完整記錄操作日誌。本地部署確保所有資料留存於企業自身環境,毋須上傳外部雲端。金融、醫療、法律等對數據主權要求嚴格的行業,此為重要條件。
上述安全功能均源自 Baidu 官方聲明,目前市場尚未有獨立機構完成全面評測。企業正式部署前,應由 IT 團隊實際驗證機制是否符合業務需求,而非直接採納廠商說法。
部署 DuMate 前必先釐清業務價值
DuMate 解決「如何相對安全使用」的問題,但無法回答更根本疑問:OpenClaw 對業務是否具備實際價值?能解決哪個具體問題?
未釐清此問題便部署,結果只有兩種:員工不知如何應用,或試用後發現工作流程未見改善。
Baidu 同期推出的 DuClaw 正為此而設。
DuClaw 屬純雲端服務,透過瀏覽器直接使用,毋須安裝軟件、設定伺服器或配置 API 金鑰。服務運行於 Baidu 伺服器,完全不接觸公司電腦或內部系統。首次訂閱月費約人民幣 17.8 元(約港幣 19 元),試錯成本極低。
以 DuClaw 探索的邏輯簡單直接:讓業務同事於低風險環境實際體驗 AI 智能體可自動化哪些工作流程,發掘對業務真正具價值的場景。此階段毋須 IT 部門介入,亦無需採購審批或合規評估。
需注意:DuClaw 數據運行於 Baidu 雲端伺服器,測試時絕對不可輸入真實公司敏感資料。** 建議使用模擬資料、公開資訊或經脫敏內容進行測試。
業務決策人實用建議:分兩階段推進
首階段:以 DuClaw 進行探索(數週至數月)
挑選願意嘗試新工具的業務同事,以 DuClaw 測試具潛力的工作流程,例如定期報告整理、跨部門資料匯整或標準化文件處理。目標明確:發掘真實使用場景,清楚說明「AI 智能體於何處節省時間、減少人為錯誤」。
若未能找到相關場景,反映現時並非部署時機。確認場景後,方可進入下一階段。
次階段:確認 ROI 後評估 DuMate 部署
確認具價值的使用場景後,再邀請 IT 部門及合規團隊介入,評估 DuMate 本地部署方案是否符合企業安全要求,釐清數據存取權限設定,並確認操作日誌能否滿足內部或監管審計需求。
OpenClaw 代表的 AI 智能體方向屬實際技術趨勢,企業值得認真了解。然而「認識技術」與「接入核心業務系統」屬兩回事,應按部就班推進。DuClaw 協助以最低成本認識技術,DuMate 則於準備就緒後提供相對安全的部署路徑。
此推進順序,現在即可啟動。
