龙虾遭券商紧急风控安全风险引关注

短短数日，开源AI智能体OpenClaw（业内称“龙虾”）在金融圈经历了热度大反转。3月10日，国家互联网应急中心发布安全风险提示，指出该工具默认配置脆弱、权限过高带来的网络与数据隐患。此前3月8日，工信部网络安全威胁和漏洞信息共享平台也发布了预警，强调OpenClaw在默认或不当配置下存在高危安全风险。

龙虾遭券商紧急风控

有券商近期已发布内部通知，提醒员工防范OpenClaw带来的安全风险，并明确禁止在公司电脑等办公资产上安装、使用该工具。多家头部券商人士透露已发布相关禁令，但也有部分券商员工表示尚未收到通知。

OpenClaw凭借系统级自主执行、本地私有化部署、插件扩展三大特性，迅速从科技圈蔓延至金融行业，成为投研、财富管理领域的热门工具。在投研端，中信证券、广发证券、国金证券等多家券商密集发布研报，推出多平台部署指南。该工具可实现条件选股、研报复现、公告自动汇总、策略回测等全流程自动化，大幅缩短基础工作耗时，被分析师视为“数字员工”。

在财富管理端，盈米基金将OpenClaw接入投顾工具，解锁基金诊断、财务规划、资产配置建议、业绩定时推送等功能，面向普通投资者提供轻量化智能投顾服务，降低专业投顾使用门槛。与此同时，云厂商如火山引擎、腾讯云、阿里云等均推出一键部署服务，进一步推动热潮向金融基层渗透。

然而，OpenClaw带来巨大效率红利的同时，风险也随之显现。据第三方监测平台declawed.io统计，截至3月9日，全球共探测到超过41万例OpenClaw公网暴露实例，其中约15.6万例存在已知的数据泄露。国家互联网应急中心提示，OpenClaw面临四类核心风险：提示词注入风险、误操作风险、插件投毒风险以及底层漏洞风险。

垦丁律师事务所张延来律师表示，审视OpenClaw的隐私政策及官方Trust页面可见其“坦诚的免责”，承认存在提示注入、间接注入、工具滥用和身份风险四大问题，并坦言不存在“完美安全”的设置。作为开源项目，OpenClaw核心代码遵循MIT许可证，软件按“原样”提供，不附带任何明示或暗示的保证，一旦发生数据泄露或安全事故，用户难以向项目方追责。

目前已有投资者将其应用于投资领域，但多数人仅出于尝鲜目的。尽管这类AI能快速处理财报、研报并生成分析报告，信息筛选、逻辑核验与风险感知仍需人工判断，现阶段完全依赖AI投资并不现实。

多家券商已出台多项强硬管控措施，包括全面禁止公司设备使用、严格落实网络隔离、强化安全合规管理等。中型券商CIO认为，短期内金融机构需严守安全底线，暂不进行内部部署，同时支持员工个人合规使用，坚守网络与数据安全红线。长期来看，AI智能体将率先在投行、投研等条线落地，驱动行业变革，但现阶段更适合作为“参谋”而非直接操作的“执行者”。

有头部券商法务人士指出，OpenClaw若要规模化进入金融领域，需跨越合规与问责、权限与数据安全、“影子AI”管控三道核心门槛。全行业同质化策略可能放大市场波动，引发羊群效应。金融领域的落地必须以数据安全、合规可控、责任清晰为前提。

针对上述门槛，破局路径已清晰，可通过采用监管沙盒实现隔离试错、结合隐私计算强化数据保护、实施分层授权推动渐进落地、选择沙箱隔离类安全替代产品等方式，在合规框架内有序推进该技术的金融领域应用。多家券商在发布OpenClaw相关研究的同时，也着重提示了相关风险，例如严格划定权限边界、禁止自动交易、做好敏感信息保密等。

正如一位金融人士所言：“真正能颠覆银行业的，从来不是技术本身，而是技术背后那个复杂的现实世界。”

本文地址：https://www.shengxiaogu.com/detail/43813.html