◎记者 文婷范功 随着OpenClaw(又名“龙虾”)的日益普及,其安全问题也引起了广泛关注。 3月15日,中国互联网金融协会发布关于互联网金融行业OpenClaw应用安全的风险提示。上海证券报记者从多家机构获悉,该行已收到监管部门有关相关风险的提示。此外,一些银行已经进行了内部自查,以了解相关风险,并对OpenClaw持谨慎态度。多位接受采访的专家表示,目前OpenClaw不太适合安全合规要求较高的企业服务市场,短期内预计不会在各大金融业务中大规模采用OpenClaw。许多银行已收到监管通知。 “龙虾”是开源人工智能代理OpenClaw的昵称。这个名字来源于事实该图标是一只红色龙虾。它集成并调用通信软件和大规模人工智能模型,在用户本地计算机上自主执行文件管理、收发电子邮件、数据处理等复杂任务。 “蝗虫”出现后,引起了中国业界和用户的广泛关注,但也提出了安全挑战。 3月11日晚,工业和信息化部网络安全漏洞威胁信息共享平台发布了《防范OpenClaw开源代理(龙虾)安全风险的“六做六不”》。该建议列举了四种典型应用场景的安全风险。我们特别强调,金融交易场景主要涉及错误交易和账户被接管等重大风险。 3月15日,中国互联网金融协会警告:虽然OpenClaw代理可以为了提高工作效率,攻击者可以轻松利用其较高的默认系统权限和较弱的安全配置来窃取敏感数据或流量。这标志着非法交易操纵行为取得了突破,也给行业带来了严峻的风险挑战。某股份制银行内部人士告诉上海证券报记者,监管部门已对该银行相关风险进行提示。另一家大型国有银行的官员告诉记者,该公司已发布内部风险提示,不允许员工在工作中创建或实施OpenClaw。一位银行科技负责人表示,监管机构近期已发布相关风险提示,银行正在开展调查落实,确保数据安全。 “总行现将向银行员工发出相关风险提示。”衍生品的风险也不容忽视。 “OpenClaw目前还不太适合企业服务市场,因为企业服务市场需要高安全性和协作性。星环科技助理副总裁张晓明对上海证券报记者表示,尤其是金融客户监管强、流程要求强,大多数系统和应用存在物理或权限分离,这种情况下OpenClaw很难充分发挥自主任务执行、跨平台集成和动态技能扩展的优势,因此不建议金融机构直接部署到生产环境。招商联盟首席经济学家、上海金融中心副主任董希淼开发院人士告诉记者,金融行业尤其是银行行业拥有大量的客户信息和交易数据,资金、客户数据、一级交易、安全合规都是坚实的基础。“因此,OpenClaw不会在主流领域得到大规模采用。中国互联网金融协会建议金融消费者在网上银行、证券交易、支付等处理个人金融业务的终端上安装OpenClaw时要格外小心。专业人士不应将OpenClaw安装在与客户信息处理、资金管理、风险管理审核或交易执行等金融服务相关的设备上,此外,还包括客户财务信息。您不应将信息、交易数据、授信审批材料或其他敏感数据输入到Agent或访问其处理环节。我们采访的专家表示至此,实施OpenClaw的决定将视具体情况而定,而出现的关键问题是人工智能应用的“极限”。3月11日,中国人民银行召开2026年科技活动会议,明确呼吁深化产业科技化。2026年,积极稳妥、安全有序推进人工智能在金融领域的应用,释放数字化、智能化发展动力。 “通过人工智能提升金融体系的效率和‘场景重构’产生了两个矛盾。场景是‘快速执行’,但合规性是‘零容错’。”奇安信总裁齐向东对上海证券报记者表示,“快执行”是指人工智能应用在金融领域的“快速执行”,提前同步场景实施和风险暴露。 “零容错”意味着银行、证券、保险机构从风险管理和合规角度对人工智能应用提出了更高的要求。 “要在金融行业全面落地大规模模式,金融机构需要进一步完善网络和数据安全保障齐向东表示。董希淼认为,未来智能客服的应用趋势,银行很可能会先在客服协助、单据处理、内部知识库检索等低风险非核心场景进行小规模验证,然后进行全面的模型改造和私有化实施,建立完整的人工智能治理体系,从源头控制风险,根据情况需要决定是否纳入自己的核心业务和核心场景。金融机构自身采用人工智能应用带来的风险挑战,智能代理也为不法分子提供了“新型诈骗”工具,由此带来的风险也不容忽视。据中国互联网金融协会介绍,不法分子利用人工智能炒股、保利等方式进行投资诈骗,无法实现。利用“龙虾”的知名度,模仿金融机构,同时散布虚假信息,诱导公民下载假冒应用程序或向指定账户汇款。此外,犯罪分子还可以以“代表他人安装”或“远程调试”为幌子控制消费者的设备,趁机插入恶意软件或窃取敏感的财务信息。相关报告显示,利用人工智能的金融诈骗案件正在迅速增加,公众识别这些新诈骗手段的能力有待提高。
(编辑:何欣)