◎記者 溫婷 黃坤
隨著OpenClaw(又稱“龍蝦”)持續(xù)走熱,其安全問題備受關(guān)注����。3月15日,中國互聯(lián)網(wǎng)金融協(xié)會發(fā)布關(guān)于OpenClaw在互聯(lián)網(wǎng)金融行業(yè)應用安全的風險提示����。上海證券報記者從多家機構(gòu)了解到,已有銀行收到監(jiān)管機構(gòu)下發(fā)的相關(guān)風險提示���。
此外���,部分銀行內(nèi)部也已自查提醒相關(guān)風險,對于OpenClaw持謹慎態(tài)度���。多位受訪專家表示����,OpenClaw暫時不太適合對安全合規(guī)要求較高的企業(yè)服務市場����,預計短期內(nèi)不會看到OpenClaw在金融核心業(yè)務中的大規(guī)模落地。
多家銀行收到監(jiān)管提示
“龍蝦”是開源AI智能體OpenClaw的別稱����,因為它的圖標是紅色的龍蝦,所以得名���。它通過整合調(diào)用通信軟件和AI大模型����,在用戶本地電腦自主執(zhí)行文件管理���、郵件收發(fā)����、數(shù)據(jù)處理等復雜任務���。
“龍蝦”出現(xiàn)以后����,受到我國產(chǎn)業(yè)界和廣大用戶的廣泛關(guān)注���,同時也帶來了安全挑戰(zhàn)���。
3月11日晚間,工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺發(fā)布“關(guān)于防范OpenClaw(龍蝦)開源智能體安全風險的‘六要六不要’建議”����,明確了四大典型應用場景安全風險����。其中特別強調(diào)����,金融交易場景主要存在引發(fā)錯誤交易甚至賬戶被接管的突出風險。
3月15日����,中國互聯(lián)網(wǎng)金融協(xié)會發(fā)布提示稱:OpenClaw智能體雖能提升工作效率,但其默認的高系統(tǒng)權(quán)限與弱安全配置����,極易被攻擊者利用,成為竊取敏感數(shù)據(jù)或非法操控交易的突破口����,給行業(yè)帶來嚴峻的風險挑戰(zhàn)。
一家股份行內(nèi)部人士告訴上海證券報記者����,已經(jīng)收到監(jiān)管發(fā)布的相關(guān)風險提示。另一家國有大行人士向記者透露���,公司內(nèi)部做了風險提示���,不允許員工在做業(yè)務時自建或部署OpenClaw。
另據(jù)某銀行科技部相關(guān)人士透露����,監(jiān)管近日的確有做相關(guān)風險提示,行里正在進行研究部署����,保證數(shù)據(jù)安全,“后續(xù)總行也將在行內(nèi)向員工發(fā)布相關(guān)風險提示”���。
衍生風險同樣不容忽視
“OpenClaw暫時還不太適合對安全合規(guī)要求較高的企業(yè)服務市場���。”星環(huán)科技助理副總裁張曉明告訴上海證券報記者���,尤其金融客戶都有強監(jiān)管����,強流程要求���,系統(tǒng)間���、應用間大部分存在物理或權(quán)限隔離���,在這種情況下,OpenClaw也很難充分發(fā)揮其自主任務執(zhí)行����、多平臺融合和技能動態(tài)擴展等優(yōu)勢,因此���,暫不推薦金融機構(gòu)直接在生產(chǎn)環(huán)境部署���。
招聯(lián)首席經(jīng)濟學家、上海金融與發(fā)展實驗室副主任董希淼向記者表示����,金融業(yè)尤其是銀行業(yè)承載著海量客戶信息和交易數(shù)據(jù),對于任何涉及資金���、客戶數(shù)據(jù)和核心交易的領(lǐng)域����,安全與合規(guī)是不可動搖的基石?��!耙虼?���,短期內(nèi)我們不會看到OpenClaw在金融核心業(yè)務中的大規(guī)模落地���。”
中國互聯(lián)網(wǎng)金融協(xié)會建議:金融消費者在辦理網(wǎng)上銀行����、證券交易、支付等個人金融業(yè)務的終端上極其謹慎安裝OpenClaw����;從業(yè)機構(gòu)不在涉及客戶信息處理、資金操作���、風控審核����、交易執(zhí)行等金融業(yè)務的終端上安裝OpenClaw,不將客戶金融信息���、交易數(shù)據(jù)����、信貸審批材料等敏感數(shù)據(jù)輸入該智能體或接入其處理鏈路���。
在受訪專家看來����,OpenClaw部署與否只是個案����,由此引發(fā)的AI應用的“邊界”問題才是關(guān)鍵。3月11日���,中國人民銀行召開2026年科技工作會議����,明確要求����,2026年要深化業(yè)技融合,積極穩(wěn)妥、安全有序推進金融領(lǐng)域人工智能應用����,釋放數(shù)字化、智能化發(fā)展動能����。
“AI對金融體系‘效率提升’和‘場景重構(gòu)’催生了一對矛盾:場景‘跑得快’,但合規(guī)‘零容錯’����?���!逼姘残哦麻L齊向東告訴上海證券報記者,“跑得快”���,是指金融領(lǐng)域AI應用“跑得快”����,這讓場景落地和風險暴露同步超前���?���!傲闳蒎e”,是指從風控和合規(guī)層面看����,銀行、證券���、保險機構(gòu)���,對AI應用的要求更高?��!按竽P驮诮鹑谛袠I(yè)的全面鋪開����,要求金融機構(gòu)進一步升級網(wǎng)絡和數(shù)據(jù)安全保障體系���,避免越過合規(guī)紅線���。”齊向東說���。
董希淼認為:智能體未來的應用趨勢更可能是銀行先在客服輔助����、文檔處理、內(nèi)部知識庫檢索等低風險���、非核心場景進行小范圍驗證���;再對模型進行深度改造和私有化部署,建立完善的AI治理體系���,從源頭管控風險���,然后視情況決定是否推廣到核心業(yè)務和核心場景���。
除了金融機構(gòu)自身部署AI應用帶來的風險挑戰(zhàn)外����,智能體也為不法分子提供了“新型詐騙”工具����,其衍生風險同樣不容忽視���。
中國互聯(lián)網(wǎng)金融協(xié)會介紹,不法分子可能以“AI代炒股”“穩(wěn)賺不賠”等話術(shù)實施投資詐騙����,利用“龍蝦”熱度批量仿冒金融機構(gòu)發(fā)布虛假信息,誘導社會公眾下載仿冒應用或向指定賬戶轉(zhuǎn)賬����。此外,不法分子還可能以“代為安裝”“遠程調(diào)試”等名義獲取消費者設(shè)備控制權(quán)����,趁機植入惡意程序或竊取金融敏感信息。相關(guān)報告顯示���,涉及AI的金融詐騙案件呈快速增長態(tài)勢����,公眾對此類新型詐騙手段的識別能力有待提升���。