3月15日,中国互联网金融协会给OpenClaw下了风险提示,因为记者杜肖锦在报道这件事。他们觉得现在线上金融发展得特别快,大家经常处理资金、资产、账户还有个人信息,非常关键敏感。OpenClaw虽然能帮人们提升工作效率,但是它系统权限太大,默认安全配置也很弱,容易被坏人利用去窃取信息或者操控交易。这个风险就更危险了。 据协会调查显示,OpenClaw公开了很多中高危漏洞。攻击者通过漏洞或者提示词注入就能控制设备。另外它普遍使用的功能插件Skills也缺乏安全审核机制,已经发生了多起恶意插件投毒事件。这些问题一旦到了金融场景里就更可怕了。比如有人用OpenClaw去搞证券交易API凭证、网银密码这些敏感信息,然后去登录系统操作资金,把客户钱搞没。而且OpenClaw可以自动执行多步操作,可能导致误操作转账或者买产品。 还有一件事情要注意一下,OpenClaw可以记住用户的会话记录和记忆文件。如果这个数据传到第三方大模型API接口或者其他地方去处理,那么这个数据的可访问范围和留存时间就可能超出原本需要的范围,引发合规问题。 除了这些技术风险外还有诈骗问题。骗子可能用“AI代炒股”、“稳赚不赔”这种话来骗人下载仿冒应用或者向指定账户转账。他们也可能装成“代为安装”、“远程调试”的名义接触用户设备窃取信息。所以大家使用网上银行、证券交易、支付等个人金融业务的时候一定要特别小心别随便安装OpenClaw。 关于这个提示的建议是:金融消费者在终端上安装OpenClaw要非常谨慎;不要轻信那些以“养虾理财”、“AI代炒股”等名义实施的诈骗活动;涉及转账和投资操作一定要通过正规渠道进行;别让别人以“代为安装”、“远程调试”等名义接触个人设备。 从业机构也是一样的道理:不要在处理客户信息和资金操作的终端上安装OpenClaw;不要把客户信息、交易数据和信贷审批材料等敏感数据给OpenClaw处理。