3月15日，中国互联网金融协会发布对于OpenClaw在互联网金融行业应用安全的风险辅导。

近期，开源AI智能体OpenClaw（“龙虾”）下载与使用热度握续攀升，该智能体频繁默许得到较高系统权限，可依据当然话语指示成功操控计较机等末端。日前，工业和信息化部收罗安全威逼和裂缝信息分享平台（NVDB）、国度互联网救急中心（CNCERT）已发布相关安全风险辅导。面前，互联网金融行业线上化、数字化进度极高，成功处理客户的资金、钞票、账户和个东谈主金融数据等错误敏锐信息。OpenClaw智能体虽能擢升责任后果，但其默许的高系统权限与弱安全成就，极易被膺惩者诓骗，成为窃取敏锐数据或罪人操控贸易的冲破口，给行业带来严峻的风险挑战。对此，中国互联网金融协会现就相关风险辅导如下：

主要风险施展

（一）资金亏本风险

OpenClaw已公开清楚多个中高危裂缝，膺惩者可诓骗此类裂缝或通过辅导词注入等花式得到设备摈弃权。另外其大王人使用的功能插件（Skills）阑珊有用的社区安全审核机制，已发生多起坏心插件投毒事件。在金融场景下，上述风险可能被诓骗窃取网银密码、支付密钥、证券贸易API根据等金融敏锐信息，开云从而登录网上银行、证券贸易系统等发起资金操作，形成客户资金亏本。

（二）贸易连累风险

OpenClaw智能体具备自主本质多步操作的能力，已有用户将其用于股票监控和投资计谋回测等金融场景。自动化本质经由可能误操作资金转账和投钞票品购买，导致骨子亏本。面前东谈主工智能手艺尚不具备透顶可评释性，自动化本质金融贸易后的连累主体难以认定，相关法律连累存在较大不细则性。

（三）数据合规风险

OpenClaw智能体具备握久记念功能，开动经由中产生的数据握续存储在土产货会话纪录和记念文献中，在其调用大模子API接口或其他操作时，易游官网相关数据可能传输至第三方。互联网金融场景触及征信数据、信贷审批材料、贸易活水等高度敏锐数据，上述数据插足AI处理链路后，其可拜谒领域和留存周期可能超出原有业务主义的必要领域，激励金融数据处置合规风险。

（四）新式诳骗风险

罪人分子可能以“AI代炒股”“稳赚不赔”等话术实施投资诳骗，诓骗“龙虾”热度批量仿冒金融机构发布造作信息，指示社会公众下载仿冒应用或向指定账户转账。此外，罪人分子还可能以“代为装配”“良友调试”等口头得到破费者设备摈弃权，顺便植入坏心步调或窃取金融敏锐信息。相关阐彰着示，触及AI的金融诳骗案件呈快速增长态势，公众对此类新式诳骗技能的识别能力有待擢升。

把稳建议

针对上述风险，中国互联网金融协会提倡以下把稳建议：

（一）建议金融破费者在办理网上银行、证券贸易、支付等个东谈主金融业务的末端上极其严慎装配OpenClaw。如确有必要装配，建议不授予金融管事类系统操作权限，实时跟进OpenClaw裂缝开发，严控功能插件装配，不在使用时输入身份证号、银行卡号、支付密码等敏锐信息。另外，此类应用在开动经由中握续调用大模子接口，可能会产生较高的Token用度，建议使用者密切关爱。

（二）建议金融破费者高度警惕以“养虾答理”“AI代炒股”“稳赚不赔”等口头实施的金融诳骗举止，触及转账、投资等操作务必通过正规渠谈，不轻信他东谈主以“代为装配”“良友调试”等口头交游个东谈主设备。

（三）建议从业机构不在触及客户信息处理、资金操作、风控审核、贸易本质等金融业务的末端上装配OpenClaw，不将客户金融信息、贸易数据、信贷审批材料等敏锐数据输入该智能体或接入其处理链路。

（四）建议从业机构将对OpenClaw等智能体应用的安全处置纳入本单元信息安全处置领域易游娱乐，面向单元职工组织专项安全培训，提高对此类智能体应用安全风险的识别和把稳能力。

• 中国
• 互联网
• 金融
• 易游娱乐
• 协会