中国互联网金融协会最近发布了一份公告,点名AI智能体OpenClaw在金融领域存在四大安全风险。IT之家3月15日报导了这个消息,协会认为OpenClaw虽然能提高效率,但其默认的高权限和低安全配置很容易被黑客利用。这让攻击者有机可乘窃取敏感数据,或者非法操控交易。因此协会建议金融消费者要特别小心在网上银行、证券交易或支付等终端安装OpenClaw。如果确实需要安装,建议不给金融类系统操作权限,及时跟进漏洞修复和严控功能插件的安装,还有输入身份证号、银行卡号、支付密码等敏感信息的时候要小心。而且这种应用运行时持续调用大模型接口可能会产生较高的Token费用,使用者也需要密切关注这个问题。工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)以及国家互联网应急中心(CNCERT)也已经针对这个问题发出了安全风险提示。互联网金融行业现在线上化和数字化程度非常高,直接处理客户的资金、资产和个人金融数据。所以OpenClaw默认的高系统权限和弱安全配置给行业带来了严峻的挑战。攻击者可以利用它窃取网银密码、支付密钥或证券交易API凭证等敏感信息来进行非法资金操作。自动化执行多步操作的能力也可能导致误操作导致实际损失。还有持久记忆功能会把数据保存在本地会话记录和记忆文件中。这些数据可能会传输给第三方,引发数据合规风险。甚至不法分子还会利用OpenClaw进行新型诈骗活动,例如“AI代炒股”、“稳赚不赔”等话术诱导公众下载仿冒应用或者转账给指定账户。中国互联网金融协会提供了一些防范建议:第一是金融消费者要谨慎安装OpenClaw,注意不给系统操作权限和漏洞修复以及严格控制功能插件安装等事项;第二是要警惕以各种名义实施的金融诈骗活动;第三是从业机构不要在涉及客户信息处理和资金操作等方面安装OpenClaw;第四是将智能体应用的安全管理纳入信息安全管理范围中,提高员工识别和防范能力。