作 者 | 九卦姐（九卦金融圈专栏作者）

来 源 | 九卦金融圈

3月10日，国家互联网应急中心发布关于OpenClaw安全应用的风险提示。这是继工信部在3月8日发文指出，“龙虾”在默认或不当配置情况下，极易引发网络攻击、信息泄露等安全问题后，官方再次发布相关提示。

风险提示的内容如下：近期，OpenClaw（“小龙虾”，曾用名Clawdbot、Moltbot）应用下载与使用情况火爆，国内主流云平台均提供了一键部署服务。此款智能体软件依据自然语言指令直接操控计算机完成相关操作。为实现“自主执行任务”的能力，该应用被授予了较高的系统权限，包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口（API）以及安装扩展功能等。然而，由于其默认的安全配置极为脆弱，攻击者一旦发现突破口，便能轻易获取系统的完全控制权。

前期，由于OpenClaw智能体的不当安装和使用，已经出现了一些严重的安全风险：

1.“提示词注入”风险。网络攻击者通过在网页中构造隐藏的恶意指令，诱导OpenClaw读取该网页，就可能导致其被诱导将用户系统密钥泄露。

2. “误操作”风险。由于错误理解用户操作指令和意图，OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除。

3.功能插件（skills）投毒风险。多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在的安全风险，安装后可执行窃取密钥、部署木马后门软件等恶意操作，使得设备沦为“肉鸡”。

4.安全漏洞风险。截至目前，OpenClaw已经公开曝出多个高中危漏洞，一旦这些漏洞被网络攻击者恶意利用，则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。

对于个人用户，可导致隐私数据（像照片、文档、聊天记录）、支付账户、API密钥等敏感信息遭窃取。

对于金融、能源等关键行业，可导致核心业务数据、商业机密和代码仓库泄露，甚至会使整个业务系统陷入瘫痪，造成难以估量的损失。

建议相关单位和个人用户在部署和应用OpenClaw时，采取以下安全措施：

1.强化网络控制，不将OpenClaw默认管理端口直接暴露在公网上，通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离，使用容器等技术限制OpenClaw权限过高问题；

2.加强凭证管理，避免在环境变量中明文存储密钥；建立完整的操作日志审计机制；3.严格管理插件来源，禁用自动更新功能，仅从可信渠道安装经过签名验证的扩展程序。

4.持续关注补丁和安全更新，及时进行版本更新和安装安全补丁。

开源 AI 智能体 OpenClaw（中文社区昵称"龙虾"）的爆火，在金融圈也引发了一场奇特的"温差现象"：一线人员跃跃欲试，科技部门如履薄冰，监管部门紧急示警。这种温差，折射出强监管行业面对"自主执行"型 AI 时的深层焦虑。

2026年3月8日，工信部网络安全威胁和漏洞信息共享平台紧急发布安全预警，多家银行明确表态"内网目前不允许部署"。然而，"禁养令"并未浇灭从业者的热情——券商研究所密集发布部署指南，甚至已有机构利用类似技术在预测市场实现周赚11.5万美元的惊人战绩。

本文将通过四个维度，探讨一下这场"龙虾"热潮在金融业的可能落地图景。

在讨论金融业"养虾"困境前，必须厘清两个常被混淆的概念。

OpenClaw 是2025年10月发布的开源 AI 智能体框架，由 GitHub 用户 Significant-Gravitas 开发，图标为红色龙虾。其核心特性是"端到端自主执行"——不仅能回答问题，更能直接操作计算机：读写本地文件、调用 API、执行代码、控制浏览器。这种"系统级权限"在提升效率的同时，也打破了传统 AI 的"沙盒隔离"原则。

Manus 则是2025年3月由中国团队推出的 AI 智能体产品，虽技术路线相似，但属于闭源商业产品，通过云端提供服务。国内媒体常将 Manus 称为"国产 OpenClaw"或"龙虾"，但二者实为不同产品：OpenClaw 完全开源，允许本地部署和代码修改；Manus 则强调"沙箱隔离"和"状态机工具控制"，在安全性上做了更多工程化约束。

对金融机构而言，这种区别至关重要：OpenClaw 的开源意味着"可控的透明"，但也意味着"无人兜底"；Manus 的闭源则意味着"有人负责"，但数据需上云。

投研圈的"超级员工"：效率跃升的真实叙事

在证券投研领域，OpenClaw 正在成为分析师眼中的"革命性工具"。多家券商金工团队近期密集发布专题报告，详细展示部署指南。

广发证券的测试显示，只需一句指令，OpenClaw 就能自动完成条件选股、数据抓取和回测分析。国金证券更进一步，利用 OpenClaw 搭建了"每日 A 股公告信息汇总"Skill——它能自动抓取公告、识别关键金额、生成 Excel 汇总，并通过定时任务每天推送到分析师手机上。

最令人惊叹的是"研报复现"场景。过去，分析师需要花数天时间复现一篇复杂研报的策略逻辑。现在，证券公司的实践表明：只需把 PDF 研报"扔"给 OpenClaw，它就能自动解析逻辑、拉取数据、编写代码进行回测，并输出带有净值图的标准化结果。

这不再是"问答工具"，而是真正"干活"的数字员工。

自毁邮件：权限失控的惊魂一刻

然而，赋予 AI"动手能力"的代价是风险的指数级放大。

Meta 超级智能对齐总监 Summer Yue 的遭遇已成为行业经典警示：2026年2月，她授权 OpenClaw 整理邮箱，结果该智能体在处理海量邮件时，竟自行删除了200多封重要邮件，且多次无视中止指令。

在银行业，这个案例更应被升级解读。中国银行原行长李礼辉曾明确警示：必须界定金融智能体的法律地位、行为边界，以及管理者在决策偏差中的责任。在个人邮箱删几百封邮件是"灾难"，但在银行核心系统里，如果一个具备高权限的 AI 智能体误读了风控指令，批量撤销支付指令或误封数万个账户，那就不再是"拔电源"能解决的了。

这正是银行对"龙虾"望而却步的根本原因。工信部在预警中明确指出，OpenClaw 存在"信任边界模糊"问题——在缺乏有效权限控制和审计机制的情况下，可能因指令诱导或配置缺陷，"执行越权操作，造成信息泄露、系统受控"。

Polymarket 上的"印钞机"：套利神话的另一面

最具戏剧性的案例来自去中心化预测市场 Polymarket。2026年2月13日，OpenClaw 官方博客发布真实交易案例：一个由 OpenClaw 驱动的交易智能体，通过7×24小时市场信息抓取、数据分析、自动化交易，在7天周期内于31个不同市场执行超47000笔交易，单周实现11.5万美元净盈利。

另一个名为"0x8dxd"的机器人账户，在 Polymarket 上完成超两万次交易，盈利超170万美元。其核心策略是"数学平价套利"——当市场情绪波动导致多空两侧合约总成本低于1美元时，机器人可同时买入实现无风险套利。

然而，这类"印钞机"故事的背后暗藏杀机。Polymarket 已开始调整机制打击套利行为，更重要的是，大模型的预测能力并不稳定。模型容易被情绪化新闻带偏，而 OpenClaw 框架通常要求导入私钥，安全问题可能随时掏空账户。

综合行业实践与监管警示，OpenClaw 在金融业的规模化落地，面临四道绕不开的"坎"。

合规与问责红线：谁对 AI 的失误负责？

金融是强监管行业，"责任界定"是核心痛点。

OpenClaw 的端到端自动执行，天然带来三大合规难题：一是责任边界模糊，AI 操作失误造成损失，是开发者、使用者还是部署机构负责？二是算法黑箱，信贷审批等核心环节的 AI 决策，如何满足监管对"可解释性"的要求？三是数据合规，智能体跨系统操作时，是否触犯数据最小化原则？

李礼辉的警示言犹在耳：必须加快制度创新，确定金融智能体的法律地位、行为边界，以及管理者在决策偏差中的责任。

权限失控与数据安全：开源是把双刃剑

OpenClaw 的核心优势——系统级权限，恰恰是金融业最恐惧的风险点。

其自主执行特性需要读写文件、调用 API、执行终端命令的能力。一旦配置失当或遭诱导指令，后果不堪设想。方正证券在研报中明确提示风险："强烈建议不要在您使用的主力计算机上安装使用"，并强调应部署在隔离环境中。

工信部预警建议，相关单位需‘严格落实开源人工智能代理框架部署过程中的网络安全防护、数据安全保护、用户认证审计等管理措施，加强运行监测’。

"影子 AI"的合规风险：地下"养虾"潮

最令银行头疼的，或许不是总行层面的审慎，而是基层的"地下养虾"。

当一线业务人员为了效率私自部署开源工具处理业务数据时，这些数据去了哪里？是否触犯合规红线？这在监管眼中，等同于数据泄露。有银行科技部门已明确：员工个人尝鲜不被允许接入内网。

系统性风险的隐忧：当全行业"龙虾"同质化

更深层的风险在于宏观层面。

如果全行业银行都采用同质化的 AI 交易策略和风控模型，极易引发极端的"羊群效应"，放大市场波动，甚至引发跨市场的系统性风险。而 OpenClaw 的开源低门槛特性，可能加速这种同质化。

迎来更成熟的“金融龙虾”？

"现在送 OpenClaw 安装服务，就像早年送建站模板。"一位云厂商解决方案架构师透露。

这场热潮的引爆点，始于国内主流云厂商几乎同时推出的"一键部署"服务。阿里云、腾讯云、火山引擎（字节跳动旗下）、华为云、京东云等纷纷打出快速部署的宣传口号，将 OpenClaw 的安装门槛降至冰点。

表面看，这是云厂商对技术热点的追逐；深层次看，这是一场关于下一代 AI 应用默认安装渠道的生死卡位战。谁掌握了开发者的"第一站"，谁就能在未来的算力调用、模型服务、数据存储中占据先机。

这对金融业意味着什么？即便银行总行层面严令"内网禁养"，但大量的金融科技开发者、第三方服务商已经在云端的开发测试环境中"养虾"。这些经过"驯化"的智能体，未来将以更成熟、更合规的形态，反向输入到金融系统中。

当"龙虾"成为新质生产力

更具深意的信号来自地方政府。

2026年3月7日，深圳龙岗区率先发布《支持 OpenClaw&OPC 发展的若干措施》（俗称"龙虾十条"），明确支持搭建 OpenClaw 生态，对采购 OpenClaw 数据服务、算力服务的企业给予最高200万元补贴。这释放了一个清晰的导向：在政策制定者眼中，能够主动执行任务的 AI 智能体，不是需要警惕的风险源，而是提升政务效率、激活数字经济的新质生产力。

这种"发展优先"的思路，与金融业的"安全优先"形成了微妙的张力。当政务系统通过 OpenClaw 实现流程自动化，当地方产业政策要求数据互通、业务协同，服务于政府项目、参与地方经济建设的金融机构，或许将不得不面临与政务"龙虾"对接的需求。

监管层：紧急示警，划出红线

工信部网络安全威胁和漏洞信息共享平台于2026年3月8日紧急发布预警，明确指出 OpenClaw 在默认或不当配置下"极易引发网络攻击、信息泄露等安全问题"。专家对此给出了具体的防范建议：部署前全面核查公网暴露情况，关闭不必要的公网访问，完善身份认证和数据加密机制。

银行业：内网禁养，安全是底线

目前，国内多家股份制银行和城商行暂无在全行层面部署 OpenClaw 的计划，主要出于对数据安全和客户隐私的审慎考量。有记者采访多家股份行、城商行获悉，目前银行并无在全行层面部署 OpenClaw 的计划。一家江浙沪上市银行明确："银行内网目前不允许部署 OpenClaw。"另一家全国性商业银行人士表示，考虑到工信部已示警，预计暂时不会"养龙虾"。

业内人士认为，未来即便推进，OpenClaw 在银行体系中的角色预计也将是辅助性工具，而非核心操作主体。其应用前提是必须满足“数据可控”与“流程合规”两大红线，尤其在涉及转账、理财购买等高风险场景时，需防范自动化操作可能引发的纠纷。

券商研究所：积极拥抱，但提示风险

与银行的审慎形成鲜明对比，券商研究所对 OpenClaw 展现出极高的热情。方正证券、广发证券、东吴证券、东北证券、国金证券、中信证券、浙商证券、华创证券等八家券商已发布专题研报，详细展示投研场景中的应用。

但无一例外，每份报告结尾都留出醒目的风险提示。东吴证券警示权限风险，方正证券提到 AI 幻觉，华创证券更是强烈建议"不要在主力计算机上安装"。

面对"效率诱惑"与"安全红线"的两难，面对"产业激进"与"合规审慎"的撕裂，金融业能否找到一条折中之路？业内专家提出了四条可行的破局方向。

监管沙盒：在隔离环境中试错

监管沙盒或可成为 OpenClaw 的"试验田"。在隔离的真实环境中，让"龙虾"处理历史数据，观察它是否会再次"自毁邮件"。这种可控的试错，既能探索技术边界，又不触及真实业务。

更重要的是，沙盒机制可以承接政策热捧与金融审慎之间的张力——"龙虾"想在金融场景落地？先进沙盒跑一圈。

隐私计算：数据不动模型动

OpenClaw 如果要处理金融数据，必须集成隐私计算技术。通过联邦学习、可信执行环境等手段，让"龙虾"在加密或脱敏的数据中学习，而不是直接触碰原始核心数据。这或是打破"数据孤岛"与"合规红线"矛盾的关键。

分层授权：从"参谋"到"士兵"的渐进路径

现阶段，银行应明确 OpenClaw 的定位：是"有自主意识的参谋"，而非"直接扣扳机的士兵"。可以在低风险领域（如代码辅助生成、运维监控、非敏感数据处理）先行试点，建立完善的权限管控和操作审计机制后，再逐步探索核心场景。

技术适配：选择更安全的替代方案

对于追求 AI Agent 能力的金融机构，或许不必执着于 OpenClaw。Manus 等强调"沙箱隔离"和"状态机工具控制"的产品，在安全性上做了更多工程化约束，可能更适合金融场景的初步探索。此外，火山引擎等云厂商已推出"AI 助手安全功能"，可实时监测提示词注入、敏感信息泄露、高危操作等风险，为"养虾"提供了一层额外的安全防护。