慎用 "龍蝦"！互金協(xié)會提示別給金融權(quán)限，警惕 Token 高費用

03 月 15 日，中國互聯(lián)網(wǎng)金融協(xié)會發(fā)布風險提示，針對近期熱度持續(xù)攀升的開源 AI 智能體OpenClaw（俗稱 "龍蝦"），在互聯(lián)網(wǎng)金融行業(yè)的應用安全發(fā)出明確預警。協(xié)會強調(diào)，該智能體雖具備提升工作效率的潛力，但其默認高系統(tǒng)權(quán)限與弱安全配置的特性，極易被攻擊者利用，成為竊取金融敏感數(shù)據(jù)或非法操控交易的突破口，給行業(yè)帶來嚴峻挑戰(zhàn)。

提示指出，OpenClaw 可依據(jù)自然語言指令直接操控終端，目前已公開披露多個中高危漏洞，且功能插件（Skills）普遍缺乏有效的社區(qū)安全審核機制，已發(fā)生多起惡意插件投毒事件。在金融場景下，這些安全隱患可能導致攻擊者通過漏洞或提示詞注入等方式獲取設備控制權(quán)，進而竊取網(wǎng)銀密碼、支付密鑰、證券交易 API 憑證等敏感信息，直接引發(fā)客戶資金損失。

除資金損失風險外，協(xié)會還明確了另外三大核心風險。其一為交易責任風險，該智能體具備自主執(zhí)行多步操作的能力，用于股票監(jiān)控、投資策略回測等場景時，可能出現(xiàn)誤操作資金轉(zhuǎn)賬或交易，且由于 AI 技術目前不具備完全可解釋性，自動化交易后的責任主體難以認定。其二是數(shù)據(jù)合規(guī)風險，其持久記憶功能產(chǎn)生的數(shù)據(jù)可能傳輸至第三方，超出金融業(yè)務的必要范圍，引發(fā)數(shù)據(jù)管理合規(guī)問題。其三為新型詐騙風險，不法分子可能借其熱度仿冒應用，以 "AI 代炒股" 等話術實施詐騙。

為此，中國互聯(lián)網(wǎng)金融協(xié)會向金融消費者提出四項核心防范建議：

審慎安裝：在辦理網(wǎng)上銀行、證券交易、支付等個人金融業(yè)務的終端上，極其謹慎安裝 OpenClaw 應用。

權(quán)限管控：確有必要安裝時，堅決不授予金融服務類系統(tǒng)操作權(quán)限。

安全加固：及時跟進 OpenClaw 的漏洞修復，嚴控功能插件安裝來源。

敏感隔離：使用過程中絕不輸入身份證號、銀行卡號、支付密碼等敏感信息。

此外，協(xié)會特別提醒，此類應用運行時會持續(xù)調(diào)用大模型接口，可能產(chǎn)生較高的 Token 費用，使用者需密切關注相關費用變動。

目前，工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺（NVDB）、國家互聯(lián)網(wǎng)應急中心（CNCERT）已同步發(fā)布相關安全風險提示。市場與監(jiān)管層面的雙重警示，旨在提醒廣大金融消費者與機構(gòu)，在擁抱 AI 技術提升效率的同時，務必將資金與數(shù)據(jù)安全置于首位，筑牢金融安全防線。

【文中數(shù)據(jù)來源網(wǎng)絡，觀點僅供參考，不做投資依據(jù)！】

備注：數(shù)據(jù)僅供參考，不作為投資依據(jù)。