3月15日这天,中国互联网金融协会发了个消息,给咱们提了个醒,说OpenClaw这玩意儿在互联网金融里玩得挺火。北京商报的记者廖蒙就写了这事儿。这OpenClaw其实就是那个叫“龙虾”的开源AI智能体,因为现在大家都爱用它来提高工作效率,下载和使用的热度一直很高。但问题是,这玩意儿默认就有很高的系统权限,别人一说自然语言指令,它就能直接操作电脑。 咱们金融行业现在线上化、数字化程度高得吓人,直接就管着客户的钱、资产、账户和各种个人金融数据。这OpenClaw虽然好用,可它默认给的高权限加上安全配置又弱,很容易被坏人利用。要是被攻破了,那就是窃取敏感数据或者非法操作交易的大门,给整个行业带来了大麻烦。 协会说了,主要有四大风险。第一是资金损失。这东西已经被爆出来有好些个中高危漏洞了,别人用这些漏洞或者提示词注入就能拿设备控制权。再加上它常用的那些功能插件(Skills)根本没人好好审一下,出了不少恶意插件下毒的事儿。在金融这块儿,黑客要是利用这些漏洞,就能偷网银密码、支付密钥、证券交易API凭证这些关键东西,直接登录系统操作钱袋子,让客户遭殃。 第二是交易责任的问题。“龙虾”能干自主执行多步操作的事儿,不少人把它用在看股票和回测投资策略上。这操作自动化了以后万一手抖搞砸了转账或者买错产品,直接就亏钱了。关键是现在的人工智能技术还不太行全解释性,出了事后到底谁负责还真不好说,法律责任很悬乎。 第三是数据合规风险。“龙虾”还记事儿呢,运行时产生的所有数据都记在本地会话记录和文件里了。它调用大模型API或者搞别的操作的时候,这些数据可能就直接传第三方去了。咱们金融业有征信、信贷审批材料、交易流水这些特别敏感的信息,一旦进了AI的处理链路上就出问题了,访问范围和留存时间可能远远超出原来该管的范围。 第四是新型诈骗风险。那些坏家伙可能会拿“AI代炒股”、“稳赚不赔”这些好听的词来骗人搞诈骗活动。趁着“龙虾”热度高就批量造假冒充金融机构发消息骗大家下仿冒软件或者往指定账户里打钱。还有些坏人更绝直接以帮忙安装、远程调试的名义获取设备控制权,顺手就把恶意程序种进去或者把金融信息偷走了。