📰 中国互联网金融协会:关于OpenClaw在互联网金融行业应用安全的风险提示
OpenClaw(龙虾)作为一种开源AI智能体,因默认高系统权限和普遍弱安全配置,在下载和使用热度持续攀升的同时,带来多重风险。文章指出其攻击面包括可通过漏洞、提示词注入等方式获取设备控制权,且常用的功能插件缺乏有效安全审核,曾发生恶意插件投毒事件。在金融场景,这可能导致网银密码、支付密钥、API凭证等敏感信息被窃取,从而引发资金损失。该智能体具备自主执行多步操作的能力,误操作可能导致资金转账和投资产品购买,且自动化交易的责任主体难以明确,法律风险较大。此外,持久记忆功能和本地存储的数据若在调用大模型API时被上传或传输给第三方,可能扩大数据合规风险,触及征信、信贷材料等高敏数据的处理边界。再者,不法分子以“AI代炒股”等噱头进行诈骗、以安装与远程调试名义获取设备控制权的风险也在增加。为应对上述风险,协会提出多项防范建议:谨慎在终端安装并使用OpenClaw,避免授予金融系统操作权限,关注漏洞修复和插件安全;提高对以投资理财为名的诈骗警觉,避免通过非正规渠道转账或投资;金融机构在处理客户信息和交易操作的终端避免使用或接入该智能体;将OpenClaw相关安全管理纳入单位信息安全体系并开展员工培训,以提升识别和防范能力。整体强调在提升效率的同时,需严格控制权限、加强安全审查与合规管理,降低金融行业的潜在风险。
🏷️ #OpenClaw #AI安全 #金融风险 #数据合规 #诈骗防范
🔗 原文链接
📰 中国互联网金融协会:关于OpenClaw在互联网金融行业应用安全的风险提示
OpenClaw(龙虾)作为一种开源AI智能体,因默认高系统权限和普遍弱安全配置,在下载和使用热度持续攀升的同时,带来多重风险。文章指出其攻击面包括可通过漏洞、提示词注入等方式获取设备控制权,且常用的功能插件缺乏有效安全审核,曾发生恶意插件投毒事件。在金融场景,这可能导致网银密码、支付密钥、API凭证等敏感信息被窃取,从而引发资金损失。该智能体具备自主执行多步操作的能力,误操作可能导致资金转账和投资产品购买,且自动化交易的责任主体难以明确,法律风险较大。此外,持久记忆功能和本地存储的数据若在调用大模型API时被上传或传输给第三方,可能扩大数据合规风险,触及征信、信贷材料等高敏数据的处理边界。再者,不法分子以“AI代炒股”等噱头进行诈骗、以安装与远程调试名义获取设备控制权的风险也在增加。为应对上述风险,协会提出多项防范建议:谨慎在终端安装并使用OpenClaw,避免授予金融系统操作权限,关注漏洞修复和插件安全;提高对以投资理财为名的诈骗警觉,避免通过非正规渠道转账或投资;金融机构在处理客户信息和交易操作的终端避免使用或接入该智能体;将OpenClaw相关安全管理纳入单位信息安全体系并开展员工培训,以提升识别和防范能力。整体强调在提升效率的同时,需严格控制权限、加强安全审查与合规管理,降低金融行业的潜在风险。
🏷️ #OpenClaw #AI安全 #金融风险 #数据合规 #诈骗防范
🔗 原文链接
