大家好,我跟你们说个事儿。最近这OpenClaw,就是那个开源AI智能体,下载跟用的人多到数不清。这玩意儿一装默认权限特别高,你对着它喊几句话,它就能直接把你电脑、手机这些终端给操控了。3月15日这天,工业和信息化部的NVDB平台还有国家互联网应急中心CNCERT,都发了提醒,说这是个大隐患。 现在互联网金融这块儿全是线上的、数字化的,天天都在跟客户的钱、资产、账户还有个人信息打交道。虽然OpenClaw能帮咱们提高干活儿的效率,但它那个默认的高权限加上配置也松松垮垮的,特别容易让坏人钻空子,拿来偷数据或者乱搞交易。 中国互联网金融协会看着也急了,给咱们提了几个风险点。第一个就是资金损失的事儿。OpenClaw已经被人挖出好几个高风险漏洞了,黑客可以用这个拿设备控制权,或者通过提示词往里面塞坏代码。更要命的是它用的插件Skills没什么人管,已经被恶意投毒过好几次了。在金融这一块出事就严重了,可能把网银密码、支付密钥这些东西都给偷走,直接登录你的银行系统或者证券账户搞钱。 第二个是交易责任的问题。有些用户拿它来监控股票或者回测投资策略。虽然它能自动一步步操作买卖股票,但有时候可能会操作失误把钱转错了或者买错了东西导致真金白银的损失。而且现在的AI技术还说不太清楚到底是怎么算出来的结果,到底是谁来负责这事儿,法律上也没啥准话。 第三个是数据合规的事儿。这软件有记忆功能,运行时产生的数据都存本地了。要是它去调用什么大模型的API接口或者做别的操作,这些数据可能就直接传到第三方去了。金融里的征信数据、审批材料、流水这些都是高度敏感的东西,要是被AI处理了进去,谁知道它会存在哪儿、留多久呢?这肯定不合规。 还有第四个是新型诈骗的风险。 针对这些风险,协会也给咱们提了几点建议: 第一,咱消费者在上网银行、炒股或者支付的时候,千万千万别随便在那些终端上装OpenClaw。非得装也可以,千万别给它金融服务类的权限;补丁出来了赶紧补;插件少装点;千万别在软件里输身份证号、卡号还有密码这些敏感信息;最后它一直用大模型接口调用Token可能会很贵,大家得看着点钱包。 第二,大家心里得长个心眼儿,警惕那些打着“养虾理财”“AI代炒股”的幌子来骗人的勾当;不管谁让你转账或者投资都走正规渠道;别信陌生人说要帮你装软件或者远程调试这种借口。 第三,做金融的机构也别在那些处理客户信息、管钱风控或者交易的电脑上装这个;客户的钱和敏感材料也别扔给这个AI或者它的处理链子里去。 这次中国互联网金融协会2026年3月15日把话说得很清楚了,大家可得小心点。