各位观众朋友们,就在3月15日,中国互联网金融协会给大伙儿发了个风险提示,说的就是那个在互联网金融圈特别火的OpenClaw智能体。它最近挺受大家追捧,因为它能干事儿还特别好使。你想给电脑下什么命令,只要用自然语言对着它说就行。不过工业和信息化部的NVDB平台和国家互联网应急中心CNCERT都发话了,说这东西不安全,得小心点。为啥呢?因为互联网金融现在全是线上操作,银行资金、资产信息、个人账户还有各种金融数据都在这儿呢。OpenClaw虽然让干活更高效,但它默认给你最高的系统权限,这可太危险了。要是被坏人利用了,那不就成了个偷数据或者搞鬼的漏洞了吗? 具体有啥风险?第一个是容易丢钱。OpenClaw已经公布了好几个中高危漏洞了,你只要稍微一不留神,攻击者就可能拿到设备的控制权。更要命的是它用的插件Skills基本上没有社区审核这一说,早都有坏人往里头下毒了。要是用在金融场景里,这就可能被用来偷网银密码、支付密钥、证券交易API凭证这些机密信息。只要拿到了这些凭证,黑客就能登录网上银行或者证券系统转账,那客户的钱岂不是要遭殃? 第二个风险是交易责任说不清。这智能体能自己执行好多操作步骤呢,已经有股民用它来看股票和回测策略了。自动化干活很方便,但也容易出错啊。有时候它可能把钱给转错了或者买错了股票,真赔了钱谁负责?现在的AI技术又没法完全解释清楚怎么回事儿,到时候到底是谁该背锅还真是个大问题。 第三个风险是数据不合规。OpenClaw有个持久记忆的功能,运行的时候产生的数据全都存在本地文件里。它在用大模型API接口的时候,这些数据就可能跑到第三方手里去了。互联网金融涉及到征信、信贷审批材料这些特别敏感的东西,要是让这些数据被AI处理了以后到处乱跑、留存时间太长就违法了。 第四个风险是新型诈骗。现在骗子可精了,他们拿着“AI代炒股”、“稳赚不赔”的话术来忽悠人。趁着“龙虾”火的时候他们会批量仿冒金融机构发假信息,骗你去下假软件或者给指定账户转账。还有的坏人会以“代为安装”、“远程调试”的名义搞破坏。最近AI相关的诈骗案子增长特别快,大家得多长点心眼儿才好。 针对这些问题,中国互联网金融协会给咱们支了几招儿: 第一招儿是给消费者提个醒:你们要是在办网银、证券交易或者支付的时候想在电脑上装OpenClaw可千万别大意。如果非得装的话别给它金融系统的操作权限。而且要及时把漏洞补一补、插件严控一下、别输身份证号、银行卡号这些敏感信息。对了它在运行时还会调用大模型接口耗很多Token费用呢,这点也得注意看着点儿。 第二招儿是让大家提高警惕:千万别信什么“养虾理财”、“稳赚不赔”的鬼话。凡是要转账、投资的事一定要走正规渠道。更不要让别人以“远程调试”或者“代为安装”的名义碰你的设备。 第三招儿是给从业机构提个醒:千万别在处理客户信息、操作资金的电脑上装这玩意儿。更不能把客户的钱或者信贷审批材料这类敏感数据给它或者让它接入处理链路里。 第四招儿是建议从业机构把对OpenClaw这类智能体的管理纳入到信息安全体系里去。给员工组织专项培训多讲讲这些智能体的安全风险点在哪头怎么防才好。