2026年3月15日
開源人工智能(AI)智能體軟件OpenClaw(「龍蝦」)近期掀起全民「養龍蝦」熱潮,中國互聯網金融協會發布《關於OpenClaw在互聯網金融行業應用安全的風險提示》。
中國互聯網金融協會指出,OpenClaw智能體雖能提升工作效率,但其預設的高系統許可權與弱安全配置,極易被攻擊者利用,成為竊取敏感數據或非法操控交易的突破口,給行業帶來嚴峻的風險挑戰。
主要風險包括資金損失風險,在金融場景下,OpenClaw存在的風險可能被利用竊取網銀密碼、支付密鑰、證券交易API憑證等金融敏感資訊,從而登錄網上銀行、證券交易系統等發起資金操作,造成客戶資金損失。
交易責任風險方面,自動化執行過程可能誤操作資金轉賬和投資產品購買,導致實際損失。 目前人工智能技術尚不具備完全可解釋性,自動化執行金融交易後的責任主體難以認定,相關法律責任存在較大不確定性。
數據合規風險方面,互聯網金融場景涉及徵信資料、信貸審批材料、交易流水等高度敏感資料,上述資料進入AI處理鏈路後,其可訪問範圍和留存周期可能超出原有業務目的的必要範圍,引發金融資料管理合規風險。
涉及新型詐騙風險,不法分子可能以AI代炒股或穩賺不賠等話術實施投資詐騙,利用「龍蝦」熱度批量仿冒金融機構發布虛假資訊,誘導社會公眾下載仿冒應用或向指定賬戶轉賬。此外,不法分子還可能以「代為安裝」「遠端調試」等名義獲取消費者設備控制權,趁機植入惡意程式或竊取金融敏感資訊。
中國互聯網金融協會提出四項防範建議,建議金融消費者在辦理網上銀行、證券交易、支付等個人金融業務的終端上極其謹慎安裝OpenClaw。如確有必要安裝,建議不授予金融服務類系統操作許可權,及時跟進OpenClaw漏洞修復,嚴控功能外掛程式安裝,不在使用時輸入身份證號、銀行卡號、支付密碼等敏感資訊。另外,此類應用在運行過程中持續調用大模型介面,可能會產生較高的Token費用,建議使用者密切關注。
建議金融消費者高度警惕以「養蝦理財」「AI代炒股」「穩賺不賠」等名義實施的金融詐騙活動,涉及轉賬、投資等操作務必通過正規管道,不輕信他人以「代為安裝」「遠端調試」等名義接觸個人設備。
建議從業機構不在涉及客戶資訊處理、資金操作、風控審核、交易執行等金融業務的終端上安裝OpenClaw,不將客戶金融資訊、交易資料、信貸審批材料等敏感性資料輸入該智能體或接入其處理鏈路。
建議從業機構將對OpenClaw等智能體應用的安全管理納入本單位信息安全管理範圍,面向單位員工組織專項安全培訓,提高對此類智能體應用安全風險的識別和防範能力。
