民生信用卡4月3日发布风险提示,点名“OpenClaw”智能体应用,提醒持卡人切勿下载、安装、使用该应用及其他来源不明的AI类工具、第三方软件,不授予相关应用设备管理员权限,不添加非官方插件,不执行陌生任务脚本与未知指令;同时提示不要在运行此类应用的设备上登录手机银行、网上银行,也不要输入账户密码、验证码等敏感信息。
公告把银行卡号、交易密码、短信验证码、身份证号、支付密钥等信息列为重点保护对象,直接把这类AI工具与信用卡盗刷、异常转账、恶意消费等资金风险联系了起来。
这条提示并非孤立动作。国家互联网应急中心3月12日发布《关于OpenClaw安全应用的风险提示》,明确提到该工具具备较高系统权限,默认安全配置脆弱,已暴露出提示词注入、误操作、功能插件投毒和安全漏洞等风险;一旦被攻击者利用,可能导致系统被控、隐私信息和敏感数据泄露,个人用户的支付账户、API密钥等信息也可能被窃取。
3月23日,国家互联网应急中心与中国网络空间安全协会联合发布《OpenClaw安全使用实践指南》,进一步建议普通用户不要在OpenClaw环境中存储或处理银行卡、密码、身份证、密钥等数据,并强调应使用专用设备、虚拟机或容器隔离运行,不宜在日常办公电脑上安装。
金融行业也已经开始把这类风险单独拎出来看。3月15日,中国互联网金融协会发布《关于OpenClaw在互联网金融行业应用安全的风险提示》,建议金融消费者在办理网上银行、证券交易、支付等个人金融业务的终端上极其谨慎安装OpenClaw;如确有必要安装,也不要授予金融服务类系统操作权限,不要在使用时输入身份证号、银行卡号、支付密码等敏感信息。协会同时提到,OpenClaw在金融场景下可能带来资金损失、交易责任、数据合规和新型诈骗等多重风险。
民生信用卡这次发文,值得注意的地方,在于银行侧的风险提示已经不再只盯着钓鱼链接、木马程序、短信骗局和伪冒客服,开始把高权限AI智能体直接纳入账户安全防范范围。对持卡人来说,这类工具看上去像效率软件,银行看到的却是终端权限、插件来源、敏感信息暴露和资金操作被串起来后的新风险入口。
过去很多账户安全提醒强调的是“别点链接”“别扫陌生码”“别泄露验证码”;现在银行进一步提示“别在运行高风险智能体的设备上登录金融账户”。这说明终端安全和资金安全之间的距离正在缩短。只要设备已经被高权限智能体接管,或者被恶意插件、漏洞、提示词注入利用,支付密码、验证码、卡号和交易指令就可能不再是孤立环节,而会一起暴露在风险面前。国家互联网应急中心此前就提醒,OpenClaw一旦被利用,可能导致支付账户等敏感信息遭窃取。
这类提示后面大概率还会继续出现。OpenClaw本身是AI智能体风险集中暴露后的一个典型样本,银行和支付机构真正要处理的,是高权限智能体开始进入普通用户终端之后,反诈、风控和账户安全提示该如何跟上。对用户而言,最现实的动作仍是把金融账户操作设备与高风险智能体运行环境分开,少授权限、不装来路不明插件、不把银行卡号、密码、验证码交给任何此类工具处理。对银行而言,把AI智能体纳入反诈资金链治理视野,已经是新的安全边界。
未经允许,严禁转载。发布者:卡组织 转载或引用请注明出处:https://www.zfzj.cn/9506.html
