中国互联网金融协会警告 OpenClaw易被攻击者利用 有资金损失风险
发布时间:16:24 2026-03-15 HKT
内地掀起「龙虾」热潮之际,中国互联网金融协会今日(15日)发布《关于OpenClaw在互联网金融行业应用安全的风险提示》,称OpenClaw智能体虽然能提升工作效率,但其默认的高系统权限与弱安全配置,极易被攻击者利用,成为窃取敏感数据或非法操控交易的突破口,给行业带来严峻的风险挑战。
或被窃取网银密码等资讯
据内媒报道,有关主要风险表现包括资金损失风险,在金融场景下,可能被利用窃取网银密码、支付密钥、证券交易API凭证等金融敏感资讯,从而登录网上银行、证券交易系统等发起资金操作,造成客户资金损失。
交易责任风险方面,自动化执行过程可能误操作资金转账和投资产品购买,导致实际损失。同时,目前人工智能技术尚不具备完全可解释性,自动化执行金融交易后的责任主体难以认定,相关法律责任存在较大不确定性。
数据合规风险方面,互联网金融场景涉及征信资料、信贷审批材料、交易流水等高度敏感资料,上述数据进入AI处理链路后,其可访问范围和留存周期可能超出原有业务目的的必要范围,引发金融资料管理合规风险。
新型诈骗风险方面,不法分子可能以「AI代炒股」或「稳赚不赔」等话术实施投资诈骗,利用龙虾热度批量仿冒金融机构发布虚假资讯,诱导社会公众下载仿冒应用或向指定账户转账。此外,不法分子还可能以「代为安装」、「远端调试」等名义获取消费者设备控制权,趁机植入恶意程式或窃取金融敏感资讯。
提出四大建议 吁谨慎安装
针对上述风险,协会提出了四项建议。当中建议金融消费者在办理网上银行、证券交易、支付等个人金融业务的终端上极其谨慎安装OpenClaw,如确有必要安装,建议不授予金融服务类系统操作权限,及时跟进OpenClaw漏洞修复,严控功能插件安装,不在使用时输入身份证号、银行卡号、支付密码等敏感信息。另外,此类应用在运行过程中持续调用大模型接口,可能会产生较高的Token费用,建议使用者密切关注。
第二,建议金融消费者高度警惕以「养虾理财」、「AI代炒股」及「稳赚不赔」等名义实施的金融诈骗活动,涉及转账、投资等操作务必通过正规管道,不轻信他人以「代为安装」、「远端调试」等名义接触个人设备。
第三,建议从业机构不在涉及客户资讯处理、资金操作、风控审核、交易执行等金融业务的终端上安装OpenClaw,不将客户金融资讯、交易资料、信贷审批材料等敏感性资料输入该智能体或接入其处理链路。
第四,建议从业机构将对OpenClaw等智能体应用的安全管理纳入本单位信息安全管理范围,面向单位员工组织专项安全培训,提高对此类智能体应用安全风险的识别和防范能力。
相关文章:内地出现「被反噬的养虾人」 龙虾参加聚会遭围攻 泄出IP等私隐后还不准报警
