中国协会3月15日发布关于OpenClaw在行业应用安全的风险提示。
提示称,近期,开源OpenClaw(“龙虾”)下载与使用热度持续攀升,该智能体通常默认获取较高系统权限,可依据自然语言指令直接操控等终端。日前,工业和信息化部威胁和漏洞信息共享平台(NVDB)、国家互联网应急中心(CNCERT)已发布相关安全风险提示。当前,行业线上化、数字化程度极高,直接处理客户的资金、资产、账户和个人金融数据等关键敏感信息。OpenClaw智能体虽能提升工作效率,但其默认的高系统权限与弱安全配置,极易被攻击者利用,成为窃取敏感数据或非法操控交易的突破口,给行业带来严峻的风险挑战。
主要风险表现有四方面,包括:一是资金损失风险,OpenClaw已公开披露多个中高危漏洞,攻击者可利用此类漏洞或通过提示词注入等方式获取设备控制权;二是交易责任风险,OpenClaw智能体具备自主执行多步操作的能力,已有用户将其用于股票监控和投资策略回测等金融场景;三是数据合规风险,OpenClaw智能体具备持久记忆功能,运行过程中产生的数据持续存储在本地会话记录和记忆文件中,在其调用大模型API接口或其他操作时,相关数据可能传输至第三方;四是新型诈骗风险,不法分子可能以“AI代炒股”“稳赚不赔”等话术实施投资诈骗,利用“龙虾”热度批量仿冒金融机构发布虚假信息,诱导社会公众下载仿冒应用或向指定账户转账。
针对上述风险,中国互联网金融协会提出以下防范建议:一是建议金融消费者在办理网上、证券交易、支付等个人金融业务的终端上极其谨慎安装OpenClaw。如确有必要安装,建议不授予金融服务类系统操作权限,及时跟进OpenClaw漏洞修复,严控功能插件安装,不在使用时输入身份证号、卡号、支付密码等敏感信息。另外,此类应用在运行过程中持续调用大模型接口,可能会产生较高的Token费用,建议使用者密切关注。
二是建议金融消费者高度警惕以“养虾理财”“AI代炒股”“稳赚不赔”等名义实施的金融诈骗活动,涉及转账、投资等操作务必通过正规渠道,不轻信他人以“代为安装”“远程调试”等名义接触个人设备。
三是建议从业机构不在涉及客户信息处理、资金操作、风控审核、交易执行等金融业务的终端上安装OpenClaw,不将客户金融信息、交易数据、信贷审批材料等敏感数据输入该智能体或接入其处理链路。
四是建议从业机构将对OpenClaw等智能体应用的安全管理纳入本单位信息安全管理范围,面向单位员工组织专项安全培训,提高对此类智能体应用安全风险的识别和防范能力。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/243251.html