Utiliser l'agent "homard" avec prudence - Plusieurs banques reçoivent des avertissements de surveillance

◎Journaliste Wen Ting, Huang Kun

Alors que OpenClaw (également appelé “Homard”) continue de gagner en popularité, ses questions de sécurité suscitent une attention accrue. Le 15 mars, l’Association chinoise de la finance Internet a publié un avis de risque concernant la sécurité de l’application d’OpenClaw dans le secteur de la finance en ligne. Selon plusieurs institutions, des banques ont déjà reçu des alertes réglementaires à ce sujet.

De plus, certaines banques ont effectué des auto-contrôles internes pour rappeler les risques liés, adoptant une attitude prudente envers OpenClaw. Plusieurs experts interviewés ont indiqué qu’OpenClaw n’était pas encore adapté au marché des services aux entreprises avec des exigences élevées en matière de sécurité et de conformité, et qu’il est peu probable de voir une adoption massive dans les activités financières essentielles à court terme.

Plusieurs banques ont reçu des alertes réglementaires

“Homard” est le nom alternatif de l’agent intelligent open source OpenClaw, nommé ainsi en raison de son icône représentant un homard rouge. Il intègre des logiciels de communication et de grands modèles d’IA pour exécuter de manière autonome des tâches complexes telles que la gestion de fichiers, l’envoi et la réception de courriels, ou le traitement de données sur l’ordinateur local de l’utilisateur.

Depuis l’apparition de “Homard”, il a attiré une attention considérable de l’industrie chinoise et des utilisateurs, tout en apportant des défis en matière de sécurité.

Le 11 mars au soir, la plateforme de partage d’informations sur les menaces et vulnérabilités de cybersécurité du Ministère de l’Industrie et de l’Information a publié des recommandations intitulées “Six choses à faire et six choses à ne pas faire” pour prévenir les risques de sécurité liés à OpenClaw (Homard), en précisant notamment quatre scénarios d’application typiques présentant des risques de sécurité. Il a été souligné que dans le domaine des transactions financières, il existe un risque accru d’erreurs de transaction ou de prise de contrôle de comptes.

Le 15 mars, l’Association chinoise de la finance Internet a publié un avis indiquant que, bien qu’OpenClaw puisse améliorer l’efficacité du travail, ses permissions système élevées par défaut et sa configuration de sécurité faible peuvent être facilement exploitées par des attaquants, devenant une porte d’entrée pour le vol de données sensibles ou la manipulation illégale de transactions, ce qui représente un défi sérieux pour le secteur.

Un responsable d’une banque commerciale a confié au journal Shanghai Securities que des alertes réglementaires avaient déjà été reçues. Un autre responsable d’une grande banque d’État a indiqué que l’entreprise avait effectué une alerte interne sur les risques, interdisant aux employés de créer ou déployer OpenClaw lors de leurs activités.

Selon un responsable du département technologique d’une banque, les autorités réglementaires ont récemment lancé des alertes similaires, et la banque travaille à la recherche et à la mise en œuvre de mesures pour garantir la sécurité des données. “La direction générale publiera également des alertes de risque aux employés à l’avenir.”

Les risques dérivés ne doivent pas être sous-estimés

“OpenClaw n’est pas encore adapté au marché des services aux entreprises avec des exigences élevées en matière de sécurité et de conformité,” a déclaré Zhang Xiaoming, vice-président adjoint de Xinghuan Technology, à Shanghai Securities. En particulier dans le secteur financier, où la réglementation est stricte, avec des exigences rigoureuses en matière de processus, la plupart des systèmes et applications sont isolés physiquement ou par permissions. Dans ce contexte, OpenClaw ne peut pas pleinement exploiter ses avantages en matière d’exécution autonome de tâches, de fusion multi-plateformes ou d’extension dynamique des compétences. Par conséquent, il n’est pas recommandé aux institutions financières de déployer directement dans l’environnement de production.

Dong Ximiao, économiste en chef de Zhaolian et directeur adjoint du Laboratoire de finance et de développement de Shanghai, a indiqué que le secteur financier, notamment les banques, gère une quantité massive d’informations clients et de données de transaction. La sécurité et la conformité sont des piliers fondamentaux pour tout domaine impliquant des fonds, des données clients ou des transactions clés. “Ainsi, à court terme, nous ne verrons pas une adoption à grande échelle d’OpenClaw dans les activités financières essentielles.”

L’Association chinoise de la finance Internet recommande : que les consommateurs financiers soient très prudents lors de l’installation d’OpenClaw sur leurs terminaux pour la gestion de la banque en ligne, des transactions boursières ou des paiements ; que les institutions évitent d’installer OpenClaw sur les terminaux traitant des informations clients, des opérations financières, des vérifications de risque ou des exécutions de transactions, et ne pas y introduire de données sensibles telles que les informations financières des clients, les données de transaction ou les documents d’approbation de crédit.

Selon des experts consultés, la décision de déployer ou non OpenClaw dépend de chaque cas, mais la question clé concerne la “limite” de l’application de l’IA. Le 11 mars, la Banque populaire de Chine a organisé la réunion de travail sur la technologie pour 2026, en soulignant la nécessité de renforcer l’intégration des technologies et des affaires, et de promouvoir prudemment, en toute sécurité et de manière ordonnée l’application de l’intelligence artificielle dans le secteur financier, afin de libérer la dynamique du développement numérique et intelligent.

“L’IA crée une contradiction dans le système financier : d’un côté, une ‘augmentation de l’efficacité’ et de l’autre, une ‘reconstruction des scénarios’ : les scénarios évoluent rapidement, mais la conformité doit être zéro tolérance.” a déclaré Qi Xiangdong, président de Qi An Xin, à Shanghai Securities. “La rapidité de déploiement signifie que l’application de l’IA dans la finance avance plus vite que la gestion des risques. La ‘tolérance zéro’ concerne la conformité et la gestion des risques, où les banques, sociétés de valeurs mobilières et assurances doivent renforcer leurs systèmes de sécurité réseau et de protection des données pour éviter de franchir la ligne rouge de la conformité.”

Dong Ximiao pense que l’avenir de l’application des agents intelligents sera probablement une validation à petite échelle dans des scénarios à faible risque et non essentiels, tels que l’assistance client, le traitement de documents ou la recherche dans des bases de connaissances internes. Ensuite, il faudra procéder à une transformation approfondie et à une déploiement privé du modèle, établir un système de gouvernance de l’IA pour contrôler les risques dès la source, puis décider en fonction des circonstances s’il faut étendre l’utilisation aux activités et scénarios clés.

Outre les risques liés à la déploiement interne de l’IA par les institutions financières, les agents intelligents offrent également de nouvelles opportunités pour les fraudeurs, avec des risques dérivés qu’il ne faut pas négliger.

L’Association chinoise de la finance Internet indique que des malfaiteurs pourraient utiliser des discours tels que “trading d’IA pour la bourse” ou “gagner sans risque” pour réaliser des escroqueries financières, en exploitant la popularité d’OpenClaw pour imiter en masse des institutions financières, diffuser de fausses informations, inciter le public à télécharger des applications frauduleuses ou transférer des fonds vers des comptes désignés. De plus, ils pourraient se faire passer pour des techniciens pour installer à distance des logiciels malveillants ou voler des informations sensibles. Selon un rapport, les cas de fraude financière impliquant l’IA connaissent une croissance rapide, et la capacité du public à repérer ces nouvelles méthodes d’escroquerie doit être renforcée.