03 月 15 日，中國互聯(lián)網(wǎng)金融協(xié)會(huì)發(fā)布風(fēng)險(xiǎn)提示，針對近期熱度持續(xù)攀升的開源 AI 智能體OpenClaw（俗稱 "龍蝦"），在互聯(lián)網(wǎng)金融行業(yè)的應(yīng)用安全發(fā)出明確預(yù)警。協(xié)會(huì)強(qiáng)調(diào)，該智能體雖具備提升工作效率的潛力，但其默認(rèn)高系統(tǒng)權(quán)限與弱安全配置的特性，極易被攻擊者利用，成為竊取金融敏感數(shù)據(jù)或非法操控交易的突破口，給行業(yè)帶來嚴(yán)峻挑戰(zhàn)。

提示指出，OpenClaw 可依據(jù)自然語言指令直接操控終端，目前已公開披露多個(gè)中高危漏洞，且功能插件（Skills）普遍缺乏有效的社區(qū)安全審核機(jī)制，已發(fā)生多起惡意插件投毒事件。在金融場景下，這些安全隱患可能導(dǎo)致攻擊者通過漏洞或提示詞注入等方式獲取設(shè)備控制權(quán)，進(jìn)而竊取網(wǎng)銀密碼、支付密鑰、證券交易 API 憑證等敏感信息，直接引發(fā)客戶資金損失。

除資金損失風(fēng)險(xiǎn)外，協(xié)會(huì)還明確了另外三大核心風(fēng)險(xiǎn)。其一為交易責(zé)任風(fēng)險(xiǎn)，該智能體具備自主執(zhí)行多步操作的能力，用于股票監(jiān)控、投資策略回測等場景時(shí)，可能出現(xiàn)誤操作資金轉(zhuǎn)賬或交易，且由于 AI 技術(shù)目前不具備完全可解釋性，自動(dòng)化交易后的責(zé)任主體難以認(rèn)定。其二是數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)，其持久記憶功能產(chǎn)生的數(shù)據(jù)可能傳輸至第三方，超出金融業(yè)務(wù)的必要范圍，引發(fā)數(shù)據(jù)管理合規(guī)問題。其三為新型詐騙風(fēng)險(xiǎn)，不法分子可能借其熱度仿冒應(yīng)用，以 "AI 代炒股" 等話術(shù)實(shí)施詐騙。

為此，中國互聯(lián)網(wǎng)金融協(xié)會(huì)向金融消費(fèi)者提出四項(xiàng)核心防范建議：

審慎安裝：在辦理網(wǎng)上銀行、證券交易、支付等個(gè)人金融業(yè)務(wù)的終端上，極其謹(jǐn)慎安裝 OpenClaw 應(yīng)用。

權(quán)限管控：確有必要安裝時(shí)，堅(jiān)決不授予金融服務(wù)類系統(tǒng)操作權(quán)限。

安全加固：及時(shí)跟進(jìn) OpenClaw 的漏洞修復(fù)，嚴(yán)控功能插件安裝來源。

敏感隔離：使用過程中絕不輸入身份證號、銀行卡號、支付密碼等敏感信息。

此外，協(xié)會(huì)特別提醒，此類應(yīng)用運(yùn)行時(shí)會(huì)持續(xù)調(diào)用大模型接口，可能產(chǎn)生較高的 Token 費(fèi)用，使用者需密切關(guān)注相關(guān)費(fèi)用變動(dòng)。

目前，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（NVDB）、國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）已同步發(fā)布相關(guān)安全風(fēng)險(xiǎn)提示。市場與監(jiān)管層面的雙重警示，旨在提醒廣大金融消費(fèi)者與機(jī)構(gòu)，在擁抱 AI 技術(shù)提升效率的同時(shí)，務(wù)必將資金與數(shù)據(jù)安全置于首位，筑牢金融安全防線。

【文中數(shù)據(jù)來源網(wǎng)絡(luò)，觀點(diǎn)僅供參考，不做投資依據(jù)！】

備注：數(shù)據(jù)僅供參考，不作為投資依據(jù)。