中國互聯網金融協會警告 OpenClaw易被攻擊者利用 有資金損失風險
發佈時間:16:24 2026-03-15 HKT
內地掀起「龍蝦」熱潮之際,中國互聯網金融協會今日(15日)發布《關於OpenClaw在互聯網金融行業應用安全的風險提示》,稱OpenClaw智能體雖然能提升工作效率,但其默認的高系統權限與弱安全配置,極易被攻擊者利用,成為竊取敏感數據或非法操控交易的突破口,給行業帶來嚴峻的風險挑戰。
或被竊取網銀密碼等資訊
據內媒報道,有關主要風險表現包括資金損失風險,在金融場景下,可能被利用竊取網銀密碼、支付密鑰、證券交易API憑證等金融敏感資訊,從而登錄網上銀行、證券交易系統等發起資金操作,造成客戶資金損失。
交易責任風險方面,自動化執行過程可能誤操作資金轉賬和投資產品購買,導致實際損失。同時,目前人工智能技術尚不具備完全可解釋性,自動化執行金融交易後的責任主體難以認定,相關法律責任存在較大不確定性。
數據合規風險方面,互聯網金融場景涉及徵信資料、信貸審批材料、交易流水等高度敏感資料,上述數據進入AI處理鏈路後,其可訪問範圍和留存周期可能超出原有業務目的的必要範圍,引發金融資料管理合規風險。
新型詐騙風險方面,不法分子可能以「AI代炒股」或「穩賺不賠」等話術實施投資詐騙,利用龍蝦熱度批量仿冒金融機構發布虛假資訊,誘導社會公眾下載仿冒應用或向指定賬戶轉賬。此外,不法分子還可能以「代為安裝」、「遠端調試」等名義獲取消費者設備控制權,趁機植入惡意程式或竊取金融敏感資訊。
提出四大建議 籲謹慎安裝
針對上述風險,協會提出了四項建議。當中建議金融消費者在辦理網上銀行、證券交易、支付等個人金融業務的終端上極其謹慎安裝OpenClaw,如確有必要安裝,建議不授予金融服務類系統操作權限,及時跟進OpenClaw漏洞修復,嚴控功能插件安裝,不在使用時輸入身份證號、銀行卡號、支付密碼等敏感信息。另外,此類應用在運行過程中持續調用大模型接口,可能會產生較高的Token費用,建議使用者密切關注。
第二,建議金融消費者高度警惕以「養蝦理財」、「AI代炒股」及「穩賺不賠」等名義實施的金融詐騙活動,涉及轉賬、投資等操作務必通過正規管道,不輕信他人以「代為安裝」、「遠端調試」等名義接觸個人設備。
第三,建議從業機構不在涉及客戶資訊處理、資金操作、風控審核、交易執行等金融業務的終端上安裝OpenClaw,不將客戶金融資訊、交易資料、信貸審批材料等敏感性資料輸入該智能體或接入其處理鏈路。
第四,建議從業機構將對OpenClaw等智能體應用的安全管理納入本單位信息安全管理範圍,面向單位員工組織專項安全培訓,提高對此類智能體應用安全風險的識別和防範能力。
相關文章:內地出現「被反噬的養蝦人」 龍蝦參加聚會遭圍攻 洩出IP等私隱後還不准報警
