◎記者 溫婷 黃坤

隨著OpenClaw（又稱“龍蝦”）持續(xù)走熱，其安全問題備受關(guān)注。3月15日，中國互聯(lián)網(wǎng)金融協(xié)會發(fā)布關(guān)于OpenClaw在互聯(lián)網(wǎng)金融行業(yè)應(yīng)用安全的風(fēng)險提示。上海證券報記者從多家機構(gòu)了解到，已有銀行收到監(jiān)管機構(gòu)下發(fā)的相關(guān)風(fēng)險提示。

此外，部分銀行內(nèi)部也已自查提醒相關(guān)風(fēng)險，對于OpenClaw持謹(jǐn)慎態(tài)度。多位受訪專家表示，OpenClaw暫時不太適合對安全合規(guī)要求較高的企業(yè)服務(wù)市場，預(yù)計短期內(nèi)不會看到OpenClaw在金融核心業(yè)務(wù)中的大規(guī)模落地。

多家銀行收到監(jiān)管提示

“龍蝦”是開源AI智能體OpenClaw的別稱，因為它的圖標(biāo)是紅色的龍蝦，所以得名。它通過整合調(diào)用通信軟件和AI大模型，在用戶本地電腦自主執(zhí)行文件管理、郵件收發(fā)、數(shù)據(jù)處理等復(fù)雜任務(wù)。

“龍蝦”出現(xiàn)以后，受到我國產(chǎn)業(yè)界和廣大用戶的廣泛關(guān)注，同時也帶來了安全挑戰(zhàn)。

3月11日晚間，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺發(fā)布“關(guān)于防范OpenClaw（龍蝦）開源智能體安全風(fēng)險的‘六要六不要’建議”，明確了四大典型應(yīng)用場景安全風(fēng)險。其中特別強調(diào)，金融交易場景主要存在引發(fā)錯誤交易甚至賬戶被接管的突出風(fēng)險。

3月15日，中國互聯(lián)網(wǎng)金融協(xié)會發(fā)布提示稱：OpenClaw智能體雖能提升工作效率，但其默認(rèn)的高系統(tǒng)權(quán)限與弱安全配置，極易被攻擊者利用，成為竊取敏感數(shù)據(jù)或非法操控交易的突破口，給行業(yè)帶來嚴(yán)峻的風(fēng)險挑戰(zhàn)。

一家股份行內(nèi)部人士告訴上海證券報記者，已經(jīng)收到監(jiān)管發(fā)布的相關(guān)風(fēng)險提示。另一家國有大行人士向記者透露，公司內(nèi)部做了風(fēng)險提示，不允許員工在做業(yè)務(wù)時自建或部署OpenClaw。

另據(jù)某銀行科技部相關(guān)人士透露，監(jiān)管近日的確有做相關(guān)風(fēng)險提示，行里正在進行研究部署，保證數(shù)據(jù)安全，“后續(xù)總行也將在行內(nèi)向員工發(fā)布相關(guān)風(fēng)險提示”。

衍生風(fēng)險同樣不容忽視

“OpenClaw暫時還不太適合對安全合規(guī)要求較高的企業(yè)服務(wù)市場。”星環(huán)科技助理副總裁張曉明告訴上海證券報記者，尤其金融客戶都有強監(jiān)管，強流程要求，系統(tǒng)間、應(yīng)用間大部分存在物理或權(quán)限隔離，在這種情況下，OpenClaw也很難充分發(fā)揮其自主任務(wù)執(zhí)行、多平臺融合和技能動態(tài)擴展等優(yōu)勢，因此，暫不推薦金融機構(gòu)直接在生產(chǎn)環(huán)境部署。

招聯(lián)首席經(jīng)濟學(xué)家、上海金融與發(fā)展實驗室副主任董希淼向記者表示，金融業(yè)尤其是銀行業(yè)承載著海量客戶信息和交易數(shù)據(jù)，對于任何涉及資金、客戶數(shù)據(jù)和核心交易的領(lǐng)域，安全與合規(guī)是不可動搖的基石。“因此，短期內(nèi)我們不會看到OpenClaw在金融核心業(yè)務(wù)中的大規(guī)模落地。”

中國互聯(lián)網(wǎng)金融協(xié)會建議：金融消費者在辦理網(wǎng)上銀行、證券交易、支付等個人金融業(yè)務(wù)的終端上極其謹(jǐn)慎安裝OpenClaw；從業(yè)機構(gòu)不在涉及客戶信息處理、資金操作、風(fēng)控審核、交易執(zhí)行等金融業(yè)務(wù)的終端上安裝OpenClaw，不將客戶金融信息、交易數(shù)據(jù)、信貸審批材料等敏感數(shù)據(jù)輸入該智能體或接入其處理鏈路。

在受訪專家看來，OpenClaw部署與否只是個案，由此引發(fā)的AI應(yīng)用的“邊界”問題才是關(guān)鍵。3月11日，中國人民銀行召開2026年科技工作會議，明確要求，2026年要深化業(yè)技融合，積極穩(wěn)妥、安全有序推進金融領(lǐng)域人工智能應(yīng)用，釋放數(shù)字化、智能化發(fā)展動能。

“AI對金融體系‘效率提升’和‘場景重構(gòu)’催生了一對矛盾：場景‘跑得快’，但合規(guī)‘零容錯’。”奇安信董事長齊向東告訴上海證券報記者，“跑得快”，是指金融領(lǐng)域AI應(yīng)用“跑得快”，這讓場景落地和風(fēng)險暴露同步超前。“零容錯”，是指從風(fēng)控和合規(guī)層面看，銀行、證券、保險機構(gòu)，對AI應(yīng)用的要求更高。“大模型在金融行業(yè)的全面鋪開，要求金融機構(gòu)進一步升級網(wǎng)絡(luò)和數(shù)據(jù)安全保障體系，避免越過合規(guī)紅線。”齊向東說。

董希淼認(rèn)為：智能體未來的應(yīng)用趨勢更可能是銀行先在客服輔助、文檔處理、內(nèi)部知識庫檢索等低風(fēng)險、非核心場景進行小范圍驗證；再對模型進行深度改造和私有化部署，建立完善的AI治理體系，從源頭管控風(fēng)險，然后視情況決定是否推廣到核心業(yè)務(wù)和核心場景。

除了金融機構(gòu)自身部署AI應(yīng)用帶來的風(fēng)險挑戰(zhàn)外，智能體也為不法分子提供了“新型詐騙”工具，其衍生風(fēng)險同樣不容忽視。

中國互聯(lián)網(wǎng)金融協(xié)會介紹，不法分子可能以“AI代炒股”“穩(wěn)賺不賠”等話術(shù)實施投資詐騙，利用“龍蝦”熱度批量仿冒金融機構(gòu)發(fā)布虛假信息，誘導(dǎo)社會公眾下載仿冒應(yīng)用或向指定賬戶轉(zhuǎn)賬。此外，不法分子還可能以“代為安裝”“遠(yuǎn)程調(diào)試”等名義獲取消費者設(shè)備控制權(quán)，趁機植入惡意程序或竊取金融敏感信息。相關(guān)報告顯示，涉及AI的金融詐騙案件呈快速增長態(tài)勢，公眾對此類新型詐騙手段的識別能力有待提升。