中国互联网金融协会3月15日发布《关于OpenClaw在互联网金融行业应用安全的风险提示》,就开源AI智能体OpenClaw(“龙虾”)在互联网金融场景中的应用风险作出专门提醒。
提示称,OpenClaw下载和使用热度持续攀升,该智能体通常默认获取较高系统权限,可依据自然语言指令直接操控计算机等终端;与此同时,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)、国家互联网应急中心(CNCERT)此前也已发布相关安全风险提示。
协会在文件中把风险拆成四类。第一类是资金损失风险。提示提到,OpenClaw已公开披露多个中高危漏洞,攻击者可能利用漏洞或通过提示词注入等方式获取设备控制权;其常用功能插件(Skills)又缺乏充分的社区安全审核机制,已有恶意插件投毒事件发生。放到金融场景中,相关风险可能被用于窃取网银密码、支付密钥、证券交易API凭证等敏感信息,进而触发网上银行、证券交易系统中的资金操作。
第二类是交易责任风险。协会指出,OpenClaw具备自主执行多步操作的能力,已有用户将其用于股票监控和投资策略回测等金融场景。问题在于,一旦自动化执行过程中出现误操作并引发转账、投资产品购买等实际损失,责任主体并不容易厘清。文件明确提到,当前人工智能技术尚不具备完全可解释性,自动执行金融交易后的法律责任仍存在较大不确定性。
第三类是数据合规风险。协会提示,OpenClaw具备持久记忆功能,运行过程中产生的数据会持续存储在本地会话记录和记忆文件中;当其调用大模型API接口或执行其他操作时,相关数据还可能传输至第三方。互联网金融业务涉及征信数据、信贷审批材料、交易流水等高度敏感信息,一旦这类数据被带入AI处理链路,其可访问范围和留存周期可能超出原有业务目的所需,进而带来金融数据管理方面的合规压力。
第四类是新型诈骗风险。协会提到,不法分子可能借“龙虾”热度,以“AI代炒股”“稳赚不赔”“养虾理财”等说法实施投资诈骗,也可能仿冒金融机构发布虚假信息,诱导公众下载假冒应用或向指定账户转账。另一类常见风险,则是以“代为安装”“远程调试”为名接触用户设备,再植入恶意程序或窃取金融敏感信息。
针对上述风险,协会分别向消费者和从业机构提出建议。对于个人用户,重点是办理网上银行、证券交易、支付等业务的终端要极其谨慎安装OpenClaw,即便确有必要安装,也不要授予金融服务类系统操作权限,不要输入身份证号、银行卡号、支付密码等敏感信息。对于从业机构,文件给出的边界更明确:不在涉及客户信息处理、资金操作、风控审核、交易执行等金融业务终端上安装OpenClaw,也不将客户金融信息、交易数据、信贷审批材料等敏感数据输入该智能体或接入其处理链路。
互联网金融业务的线上化、自动化程度本来就高,一旦默认高权限、插件生态、记忆存储和外部模型调用叠加在一起,风险不再只是“生成错误内容”,而可能直接触及账户、交易和敏感数据。对支付和互联网金融行业来说,在涉及客户信息和资金操作的终端上,智能体工具并不是“能不能提效”这么简单,而是首先要回答“能不能碰”。
未经允许,严禁转载。发布者:支付之家网 转载或引用请注明出处:https://www.zfzj.cn/8807.html
