嘿,咱们聊聊“龙虾”,也就是那个叫OpenClaw的开源AI智能体,现在特别火,下载和使用的人都在猛增。这个智能体默认拿到了很高的系统权限,能直接听人话指挥电脑干事儿。3月15日那天,中国互联网金融协会特意发了个风险提示,把这事说了说。原来,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)、国家互联网应急中心(CNCERT)之前就提醒过这里头的安全隐患。毕竟现在的网上银行和互联网金融业务,处理的都是客户的钱、资产、账户还有个人金融数据这些特别敏感的东西。虽然OpenClaw能让工作效率变高,可它这高权限加上安全配置弱的缺点,要是被坏人盯上,很容易就成了他们偷数据或者搞非法交易的突破口。 我把具体风险给大伙梳理了一下。第一个风险是钱丢了。OpenClaw被曝出好几个中高危漏洞,坏蛋可能利用这些漏洞或者通过提示词来抢设备控制权。还有它用的那些功能插件(Skills)没什么有效的安全审核机制,不少插件都被下毒了。在金融场景里,这些漏洞可能就被用来偷网银密码、支付密钥或者证券交易API凭证,然后直接登录网上银行或者证券交易系统弄钱,让人破财。第二个风险是交易责任的问题。OpenClaw能自己干好多步操作,已经有人把它拿来炒股或者回测投资策略了。这机器自己执行的时候容易手滑转账或者买错东西赔钱。现在的AI还不够聪明到能完全解释清楚自己干了啥,一旦出事了到底是谁的责任还真不好说。第三个风险是数据不合规。OpenClaw记得特别牢,跑的时候存了一堆本地记录和记忆文件。它要是叫大模型API接口干活儿,这些数据就可能跑到第三方手里去了。互联网金融涉及的征信数据、信贷审批材料、交易流水这些高度敏感的信息要是进了AI处理链路里头,范围和留存时间可能就超过了原来业务的需要了。 还有就是新的诈骗招数也出来了。针对这些风险,协会给了几点建议。首先给老百姓支招:办理网上银行、证券交易或者支付这些个人业务的时候别轻易给电脑装OpenClaw。非要装的话千万别给它管金融服务的权限;发现漏洞赶紧修;功能插件少装或者不装;用的时候千万别输入身份证号、卡号、密码这些关键信息;而且它老叫大模型接口也挺费钱的(Token),用的时候多留意账单。 然后提醒大伙儿要警惕以“养虾理财”“AI代炒股”“稳赚不赔”为名的诈骗活动。只要涉及转账或者投资就必须走正规渠道。千万别相信别人说帮你“安装”或者“远程调试”这种话去碰自己的设备。 最后是给从业机构的建议:千万别在处理客户信息、管钱、风控审核或者做交易执行这些要紧工作的电脑上装OpenClaw;也别把客户的钱袋子数据或者信贷审批材料喂给这个智能体或者让它经手处理。