最近中国互联网金融协会发出了风险提醒。有个开源AI工具叫OpenClaw,最近挺火的,因为它能帮你直接用语音控制电脑。但它通常默认有很高的权限,这让它很容易被坏人利用。 工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)还有国家互联网应急中心(CNCERT)也都发了安全提示。现在互联网金融行业的线上操作很多,直接处理客户的钱和重要信息,这种高权限和弱安全配置的工具就容易被攻击。所以这次中国互联网金融协会给大家做了详细的提醒。 一、主要风险表现: 1. 资金损失风险:OpenClaw有很多漏洞,攻击手段也很多样,坏人可以用它窃取网银密码、支付密钥或者证券交易API凭证。 2. 交易责任风险:OpenClaw能自己动手做一些复杂的操作,比如炒股或者回测策略。虽然方便,但如果出错了谁来负责很难说清楚。 3. 数据合规风险:OpenClaw会一直记住你做过什么事,数据存着存着可能就传到了第三方去。这些数据本来应该严格控制范围和时间的。 4. 新型诈骗风险:有人会冒充金融机构发布假消息骗你下载软件或转账,或者以调试为名窃取信息。 二、防范建议: (一)对于金融消费者: 建议不要随便在你的电脑上装这个工具。如果非要用,就别给它访问银行的权限,要及时检查更新漏洞修复程序。也别随便给它敏感信息输入身份证号、银行卡号、支付密码这些东西。 (二)还要警惕那些说什么“养虾理财”、“稳赚不赔”的骗局。涉及到钱的时候一定要走正规渠道。 (三)从业机构也别在处理客户信息的电脑上装这个工具。 (四)把这个工具的安全管理纳入单位的信息安全管理体系里去。 另外还要注意这个工具在运行过程中需要调用大模型API接口,会产生比较高的Token费用。所以大家使用的时候要留心这个费用问题。 还有恶意插件事件也发生了不少,所以安装插件的时候一定要小心确认来源和安全性。