📰 中国互联网金融协会:关于OpenClaw在互联网金融行业应用安全的风险提示
OpenClaw(龙虾)作为一种开源AI智能体,因默认高系统权限及相对薄弱的安全配置,在互联网金融行业的高敏感环境中带来显著风险。文章首先指出其可能通过漏洞、提示词注入等方式获取设备控制权,结合常用插件缺乏严格安全审核,易被利用窃取网银密码、支付密钥及API凭证等金融敏感信息,进而导致资金损失。其次,该智能体具备自主执行多步操作的能力,自动化执行金融交易存在误操作与责任认定不明的问题,金融领域的可解释性不足使风险进一步扩大。再次,数据合规风险凸显:持久记忆与本地存储的数据在调用大模型接口时可能被传输至第三方,涉及征信、信贷材料等高度敏感数据,留存与使用范围可能超出原有必要性。最后,新型诈骗风险上升,犯罪分子可能借助AI热度实施虚假投资、批量仿冒等活动,并通过“远程调试”获得设备控制权。为防范,协会建议金融消费者谨慎安装并避免授予高权限,警惕以养虾理财等名义的诈骗,金融机构不应在涉及敏感数据的终端使用OpenClaw,并将其安全治理纳入信息安全体系,开展员工培训,提升风险识别与防范能力。
🏷️ #AI安全 #金融风险 #OpenClaw #数据合规 #防范建议
🔗 原文链接
📰 中国互联网金融协会:关于OpenClaw在互联网金融行业应用安全的风险提示
OpenClaw(龙虾)作为一种开源AI智能体,因默认高系统权限及相对薄弱的安全配置,在互联网金融行业的高敏感环境中带来显著风险。文章首先指出其可能通过漏洞、提示词注入等方式获取设备控制权,结合常用插件缺乏严格安全审核,易被利用窃取网银密码、支付密钥及API凭证等金融敏感信息,进而导致资金损失。其次,该智能体具备自主执行多步操作的能力,自动化执行金融交易存在误操作与责任认定不明的问题,金融领域的可解释性不足使风险进一步扩大。再次,数据合规风险凸显:持久记忆与本地存储的数据在调用大模型接口时可能被传输至第三方,涉及征信、信贷材料等高度敏感数据,留存与使用范围可能超出原有必要性。最后,新型诈骗风险上升,犯罪分子可能借助AI热度实施虚假投资、批量仿冒等活动,并通过“远程调试”获得设备控制权。为防范,协会建议金融消费者谨慎安装并避免授予高权限,警惕以养虾理财等名义的诈骗,金融机构不应在涉及敏感数据的终端使用OpenClaw,并将其安全治理纳入信息安全体系,开展员工培训,提升风险识别与防范能力。
🏷️ #AI安全 #金融风险 #OpenClaw #数据合规 #防范建议
🔗 原文链接
