“养虾”破财警示：银行风控面临AI新考验

　一场全民“养龙虾”的AI狂欢热潮来袭。

　　近段时间，开源AI智能体OpenClaw(俗称“龙虾”)走红全网，以“解放双手”的便捷性吸引大量用户跟风部署，被网友亲切称为“养虾”。这款可自动完成文件处理、远程调试等功能的工具，背后却暗藏安全隐患，有用户因绑定信用卡信息、开放公网权限，遭遇信用卡盗刷，上演“养虾”变“失财”的尴尬一幕。

　　这一现象已为金融行业敲响警钟，3月12日，北京商报记者从多位银行信用卡中心人士处了解到，目前，部分银行已启动相关风险排查，暂未发现大规模盗刷案例，下一步将对相关案例进行研究，探索优化异常交易风控模型，提高对AI自动化操作、利用智能体安全漏洞盗刷等的识别和防范能力。

　OpenClaw的走红，源于“解放双手”的核心诉求与便捷高效的使用体验。

　　这款开源AI智能体，可通过整合多渠道通信能力与大语言模型，构建具备持久记忆、主动执行能力的定制化AI助手，能自动完成文件处理、脚本编写、远程调试等功能，吸引了大量用户跟风入场。

　　但热潮背后，隐藏着不容忽视的安全隐患，最直接的风险是信用卡信息窃取与盗刷。近日，一名开发者在社交平台分享称，他的朋友在使用AI代理工具OpenClaw编写程序时将浏览器通过VNC远程桌面开放至公网，几天后信用卡被连续盗刷。

　　有不少网友担忧，自己此前为了方便使用OpenClaw，已经绑定了信用卡、银行卡等支付信息，如今不知道如何彻底清除痕迹，担心信息持续泄露、遭遇盗刷；也有网友提到，原本以为“养虾”能提升效率、解放双手，没想到反而要承担财产损失的风险，直言“再也不敢跟风了”，不要为了一时便捷忽视安全。

　　博通咨询金融业资深分析师王蓬博指出，利用这类AI智能体实施的信用卡盗刷，更像是一种依托大众化AI工具形成的新型攻击方式。它更多是利用工具本身的高权限和普及性，来窃取支付信息并完成交易。和传统盗刷相比，这类风险可能呈现出几个比较明显的特点，比如攻击门槛更低、传播范围更广，远程操作、无接触盗刷的特征更突出，同时小额高频、跨境虚拟消费的模式，也更容易绕过一些常规风控监测，整体的隐蔽性和扩散风险相对更高一些。

　　在苏商银行特约研究员武泽伟看来，从安全角度看，这类AI工具被黑客利用进行信用卡盗刷属于一种新型的“智能代理滥用”攻击路径。核心在于攻击者不再直接攻击银行系统，而是通过提示注入等技术手段劫持合法的AI智能体，将其变为实施犯罪的代理工具。与传统盗刷相比，新特征体现在攻击的隐蔽性和自动化程度。黑客无需接触用户设备，而是利用AI代理在用户授权的高权限环境下，自动完成从卡片信息窃取到交易实施的全过程。

　　银行启动AI盗刷风险排查工作

　　虽然利用AI智能体实施的信用卡盗刷仍为个例，但也为金融行业敲响了警钟。

　　3月12日，多位银行信用卡中心人士在接受北京商报记者采访时直言，已经关注到此类新型盗刷风险，部分银行已启动AI盗刷风险排查工作。

　　“目前我行内部还没有部署使用OpenClaw这个AI工具，目前来看，银行业普及使用的概率不大。”一位国有大行信用卡中心相关人士提及，“排查发现我行目前也暂未出现因AI操作导致客户信用卡盗刷的事件。”