近期，一款名为OpenClaw的开源AI智能体（因其红色龙虾形状图标被俗称为“龙虾”）受到关注。该软件可依据用户指令操作电脑，实现文件整理、邮件发送等功能，操作较为便捷。然而，国家互联网应急中心已发布安全风险提示，指出该软件默认安全设置存在明显薄弱环节，可能被不法分子利用，导致个人信息泄露或计算机被远程控制。尤其对于企业管理者、财务人员等群体，办公电脑中存储大量资金账户与敏感数据，相关风险不容忽视。

  一、典型案例

  日前，我行客户李女士下载一款自动记账类APP，安装时未仔细阅读权限申请，即允许其读取短信、查看通讯录等。数日后，她收到诈骗短信及冒充银行客户经理的电话，对方准确说出其银行卡尾号和近期消费记录，并以“高收益理财产品”为诱饵诱导转账。李女士及时联系我行网点客户经理核实，意识到遭遇诈骗，立即卸载该软件、更改网银密码，避免了资金损失。后续，我行工作人员建议其前往手机官方售后服务点进行设备安全检测。

  二、风险分析

  上述案例与“OpenClaw”软件的风险本质相似——均因安装来源不明、权限过大的软件，导致个人信息泄露，进而被用于精准诈骗。结合国家互联网应急中心通报，相关风险主要包括：

  （一）个人信息被窃取

  李女士安装的APP获取了消费记录、通讯录等隐私信息，类似地，“OpenClaw”存在“提示词注入”攻击风险，攻击者可通过在网页中嵌入恶意指令，获取设备中存储的账号、密码等敏感数据。

  （二）恶意插件风险

  李女士下载的APP本身即为恶意程序，通过授权窃取数据。同样，部分面向“OpenClaw”的插件已被证实含有恶意代码，安装后可能窃取密钥、植入木马，使设备被远程控制。

  （三）系统漏洞利用风险

  诈骗分子能够精准获取李女士的消费记录，或与APP存在的安全漏洞有关。“OpenClaw”已被披露存在多个高中危漏洞，攻击者可利用漏洞控制设备。

  （四）数据误操作风险

  恶意软件可能错误执行指令，导致重要文件被误删或篡改，造成不可逆损失。“OpenClaw”亦存在因指令理解偏差而误删核心数据的可能。

  三、温馨提示

  如您正在使用“OpenClaw”类软件，请对照以下要点加强安全防护：

  （一）避免直接暴露于公网

  做好网络隔离与防护，勿将软件直接暴露于互联网。如需远程访问，应通过虚拟专用网络（VPN）接入，并严格限制访问来源。

  （二）遵循最小权限原则

  仅授予完成工作所必需的最低权限，避免使用管理员账户运行。对删除文件等重要操作设置二次确认机制。

  （三）禁止明文存储密码

  切勿在配置文件中明文写入密码，防止凭证泄露。

  （四）审慎安装插件

  仅从官方可信渠道获取插件，拒绝安装来源不明的插件。

  （五）及时更新补丁

  持续关注官方发布信息，及时安装最新版本及安全补丁，修复已知漏洞。

  （六）办公电脑专用

  特别提醒企业管理者、财务人员：办公电脑应避免安装未经安全认证的AI软件，切勿将其与网银、财务系统等核心业务关联。

  中原银行新乡分行提示您：科技应用在提升便捷性的同时，安全防护不可忽视。请谨慎使用各类软件，妥善保护个人信息与资金安全。