把时间定格在2026年,中国互联网金融协会发文给大伙儿提个醒。说的是OpenClaw,这智能体现在特火,特别能干活,默认权限高得吓人,发个自然语言指令就能把电脑拿捏了。这不,工业和信息化部那个漏洞平台NVDB,还有国家互联网应急中心CNCERT,前脚刚发出警告,后脚这事就闹得沸沸扬扬了。毕竟现在网上金融搞得很红火,客户的钱袋子、账户信息还有个人数据都在上面飘着呢。虽然OpenClaw干活效率高,但它默认的权限设置太松,稍微不留神就让坏人钻了空子,搞不好就成了窃取信息、操控交易的温床。中国互联网金融协会这次就把情况给大伙儿摊开来说说: 首先得说说资金损失的风险。OpenClaw的漏洞已经被扒皮扒光了,还有那个提示词注入的玩法,攻击者只要稍微动点歪脑筋就能把设备抓在手里。更可怕的是它那些功能插件(Skills),没人专门管着安全审核,早就是毒窝子了。到了金融圈子里,这些招数一旦用上,网银密码、支付密钥、证券交易的API凭证全给你顺走,然后登录网上银行或者证券系统随便转账搞操作,那是要人命的事情。 再来聊聊交易责任这块儿。“龙虾”能自动执行好几步操作,已经有人拿它来盯盘或者回测股票策略了。可谁能想到它有时候会搞出乌龙转账或者乱买理财产品的大新闻呢?关键是现在的人工智能还是个黑匣子,出了岔子谁该背锅根本说不清,法律上也扯不清楚。 数据合规风险也不能小觑。这智能体记性挺好的,啥时候干的啥事儿全记在本地文件里。它一旦调用大模型的API接口搞数据传输,说不定就把咱们的征信数据、信贷审批材料都传到了外面去。到时候数据存了多久、谁能看见、怎么处理都超出了原来的业务范围,这就是一笔糊涂账。 还有那些新型的诈骗手段也得防着点。骗子们借着“AI代炒股”、“稳赚不赔”的名头大肆行骗,拿“龙虾”的热度来批量假冒金融机构发假消息。他们或者说要帮你“代为安装”、“远程调试”,其实就是想拿你的设备搞事,顺便植入个病毒或者顺走点敏感信息。 针对这些问题,协会给大家支了几招: 金融消费者办事的时候最好别在网上银行、证券交易或者支付终端上装OpenClaw。要是实在想用也得小心,千万别给它金融服务的操作权限;及时盯着它修漏洞;别乱装插件;打字的时候绝对不能透露身份证号、银行卡号还有密码。另外这个智能体用起来老调用大模型接口,产生的Token费用也不低,心里可得有点数。 大家还得瞪大眼睛看着那些所谓的“养虾理财”、“AI代炒股”的陷阱,尤其是要转账、投资的时候一定要走正规的渠道;绝对不能轻易让人以“代为安装”、“远程调试”的理由碰你的设备。 从业机构更得小心,千万不能在处理客户信息、做风控审核、交易执行这些关键环节的设备上用这个智能体;别把客户的金融信息、交易数据还有信贷审批材料输入进去或者接进处理流程里去。 建议各个单位把OpenClaw这类应用的安全管理纳入自己的信息安全体系里去;给员工们组织专门的培训;让大家学会怎么识别和防范这种智能体带来的风险。 这就是2026年3月15日这天发生的事儿,大家心里都得有个谱儿才行。