Chen Guowang : Quatre scénarios de "lignes rouges" dans l'application d'OpenClaw dans le secteur financier sont strictement interdits

Comment l’IA dans le secteur financier peut-elle équilibrer efficacité et conformité en matière de sécurité ?

Récemment, l’agent intelligent open source OpenClaw (également appelé « Crabe ») a continué de gagner en popularité. Il peut intégrer et appeler des logiciels de communication ainsi que de grands modèles d’IA, exécutant de manière autonome sur l’ordinateur local de l’utilisateur des tâches complexes telles que la gestion de fichiers et le traitement de données. Cependant, dans un secteur financier fortement réglementé et sensible, les risques de sécurité d’OpenClaw, ses limites d’application et ses difficultés de mise en œuvre restent au cœur des préoccupations de l’industrie.

Définition des limites d’application : se concentrer sur l’assistance non essentielle, clarifier les quatre lignes rouges

Concernant les limites d’application d’OpenClaw dans le secteur financier, le président de l’Institut de recherche bancaire, Chen Guowang, a clairement indiqué que ses principes fondamentaux peuvent être résumés comme « assistance humaine renforcée, activités non essentielles, données non sortantes du domaine, permissions minimales, traçabilité complète ». Ces principes découlent à la fois de ses caractéristiques de sécurité et des exigences de conformité du secteur financier.

Plus concrètement, les scénarios d’application d’OpenClaw qui peuvent être mis en œuvre se concentrent principalement sur l’assistance non essentielle, sans impliquer les opérations financières clés, tout en améliorant efficacement la productivité. Cela inclut notamment l’assistance au travail interne, comme l’organisation de documents, la recherche de documents réglementaires, la génération de comptes rendus de réunions ; l’assistance au service client, comme la génération de scripts pour les interactions, la réponse aux questions fréquentes, le pré-traitement des tickets de réclamation. Cependant, ces scénarios impliquant une communication externe doivent toujours faire l’objet d’une vérification humaine en dernière instance. Il existe également des aides à la conformité et à la gestion des risques, telles que la vérification des règles anti-fraude, l’interprétation des documents réglementaires, l’identification préliminaire des transactions suspectes.

Par ailleurs, Chen Guowang insiste sur le fait que dans le secteur financier, il existe quatre « scénarios à lignes rouges » strictement interdits : l’exécution des transactions essentielles, la prise de décisions critiques en gestion des risques, le traitement de données sensibles, ainsi que le déploiement en dehors du domaine ou sur Internet public. En outre, il faut respecter strictement les principes de déploiement privé, de permissions minimales et de traçabilité complète, afin de prévenir en détail tout risque de sécurité ou de non-conformité.

Obstacles à la mise en œuvre des activités principales : trois faiblesses majeures comme principales contraintes

Bien qu’OpenClaw présente une certaine valeur dans l’assistance non essentielle, Chen Guowang souligne que, en raison de ses trois principales faiblesses — sécurité, conformité et technique — sa mise en œuvre dans les activités clés du secteur financier est difficile à court terme, et il existe une contradiction fondamentale avec les exigences élevées de ces activités.

Premièrement, l’architecture de sécurité est intrinsèquement défectueuse. Le 11 mars, la plateforme de partage d’informations sur les menaces et vulnérabilités en cybersécurité du ministère de l’Industrie et des Technologies de l’Information a publié une alerte précisant que l’utilisation d’OpenClaw dans des scénarios de transactions financières pourrait entraîner des erreurs de transaction ou même la prise de contrôle du compte. Chen Guowang explique que, étant donné cette alerte, la conception architecturale d’OpenClaw, qui repose sur des permissions élevées et un chiffrement faible, est gravement incompatible avec les exigences de sécurité des systèmes bancaires, et présente de nombreuses vulnérabilités. Ces défauts intrinsèques sont difficiles à corriger à court terme.

Deuxièmement, les exigences réglementaires et la tolérance zéro des autorités de supervision financière ne correspondent pas. Le 15 mars, l’Association chinoise de la finance Internet a publié une alerte précisant que le niveau élevé de permissions système par défaut et la configuration peu sécurisée d’OpenClaw en font une porte d’entrée facile pour le vol de données sensibles ou la manipulation illégale de transactions. Chen Guowang indique qu’OpenClaw présente un risque de fuite de données sensibles, et que son mode de prise de décision autonome est non traçable, avec une responsabilité floue, ce qui ne peut satisfaire aux exigences de tolérance zéro des régulateurs financiers.

Enfin, ses capacités techniques ne répondent pas aux standards du secteur financier. Les activités financières exigent une précision extrême, avec zéro erreur, mais le modèle d’OpenClaw souffre de problèmes de « hallucination », ce qui compromet la fiabilité de ses résultats. De plus, il manque de mécanismes matures de gestion des risques et de vérification. La transformation en version privée et le renforcement de la sécurité nécessitent des coûts très élevés, rendant difficile pour les institutions financières de créer rapidement un cycle de sécurité complet, ce qui limite encore sa mise en œuvre dans les activités clés.

L’art de l’équilibre : priorité à la conformité, collaboration homme-machine pour résoudre le conflit entre efficacité et sécurité

Dans l’application de l’IA dans le secteur financier, le conflit entre « amélioration de l’efficacité » et « tolérance zéro à la non-conformité » est constant. Chen Guowang estime que la nature de ce conflit réside dans le conflit fondamental entre vitesse et sécurité. La clé pour le résoudre consiste à adhérer au principe de « conformité prioritaire, collaboration homme-machine, déploiement progressif ».

À cette fin, Chen Guowang propose quatre voies concrètes pour équilibrer cette relation : premièrement, renforcer la gouvernance de haut niveau, clarifier le rôle d’assistance de l’IA, établir un comité de gouvernance de l’IA, élaborer un manuel de conformité et une liste de risques ; deuxièmement, renforcer la sécurité technique, en adoptant un déploiement privé, une isolation en réseau interne, une gestion des listes blanches de plugins pour garantir la sécurité des données ; troisièmement, suivre une approche progressive, en priorisant l’application dans des scénarios non essentiels et à faible risque, avec une vérification humaine obligatoire ; quatrièmement, améliorer la gestion de l’ensemble du processus, en établissant des mécanismes d’évaluation préalable, de coupure en cours de route et d’audit après coup, pour prévenir tout risque.

Enfin, Chen Guowang conclut que l’application d’OpenClaw dans le secteur financier doit impérativement respecter la ligne rouge de la conformité et faire de la sécurité une condition préalable. À court terme, son déploiement doit se limiter aux scénarios d’assistance non essentiels. La clé pour faire aboutir ses activités principales réside dans la résolution des quatre problèmes fondamentaux : défauts de l’architecture de sécurité, manque d’explicabilité, ambiguïté des responsabilités, non-conformité des données. En fin de compte, seul un équilibre entre conformité et efficacité permettra de maximiser la valeur de l’IA.