Utiliser l'agent "homard" avec prudence - Plusieurs banques reçoivent des avertissements de surveillance

◎ Journalistes : Wen Ting, Huang Kun

Alors que OpenClaw (également appelé « homard ») continue de gagner en popularité, ses enjeux de sécurité suscitent une attention croissante. Le 15 mars, l’Association chinoise de la finance Internet a publié un avis de risque concernant la sécurité de l’application d’OpenClaw dans le secteur de la finance en ligne. Selon plusieurs institutions, des banques ont déjà reçu des alertes réglementaires à ce sujet.

De plus, certaines banques ont procédé à des auto-contrôles internes pour rappeler les risques liés, adoptant une attitude prudente envers OpenClaw. Plusieurs experts consultés ont indiqué qu’OpenClaw n’était pas encore adapté au marché des services aux entreprises avec des exigences élevées en matière de sécurité et de conformité, et qu’on ne s’attend pas à une large adoption dans les activités financières essentielles à court terme.

Plusieurs banques ont reçu des alertes réglementaires

« Homard » est le nom donné à l’intelligence artificielle open source OpenClaw, en raison de son icône représentant un homard rouge. Il fonctionne en intégrant des logiciels de communication et de grands modèles d’IA, permettant à l’utilisateur d’exécuter de manière autonome des tâches complexes telles que la gestion de fichiers, l’envoi et la réception de courriels, ou le traitement de données sur son ordinateur local.

Depuis l’apparition de « homard », il a attiré une attention considérable de la part de l’industrie nationale et des utilisateurs, tout en posant des défis en matière de sécurité.

Le soir du 11 mars, la plateforme de partage d’informations sur les menaces et vulnérabilités en cybersécurité du Ministère de l’Industrie et de l’Information technologique a publié une recommandation intitulée « Six choses à faire et six choses à ne pas faire » pour prévenir les risques de sécurité liés à l’intelligence artificielle open source OpenClaw (homard), précisant notamment quatre scénarios d’application typiques présentant des risques de sécurité. Il a été souligné que dans le domaine des transactions financières, il existe un risque accru d’erreurs de transaction ou même de prise de contrôle des comptes.

Le 15 mars, l’Association chinoise de la finance Internet a publié un avis indiquant que, bien qu’OpenClaw puisse améliorer l’efficacité du travail, ses permissions système élevées par défaut et sa configuration de sécurité faible sont facilement exploitées par des attaquants, devenant ainsi une porte d’entrée pour le vol de données sensibles ou la manipulation illégale de transactions, ce qui constitue un défi de sécurité sérieux pour le secteur.

Un responsable d’une banque commerciale a confié au journal Shanghai Securities que celle-ci avait déjà reçu une alerte réglementaire à ce sujet. Un autre responsable d’une grande banque publique a indiqué que leur institution avait également émis une alerte interne, interdisant aux employés de créer ou déployer eux-mêmes OpenClaw lors de leurs activités.

Selon un responsable du département technologique d’une autre banque, les autorités de régulation ont récemment effectivement diffusé des alertes, et la banque mène actuellement des recherches et déploiements pour garantir la sécurité des données. « La direction générale publiera également ultérieurement des alertes internes pour sensibiliser les employés. »

Les risques dérivés ne doivent pas non plus être sous-estimés

« OpenClaw n’est pas encore adapté au marché des services aux entreprises avec des exigences strictes en matière de sécurité et de conformité. » Zhang Xiaoming, vice-président adjoint de Xinghuan Technology, a déclaré au Shanghai Securities que, surtout dans le secteur financier où la réglementation est forte et les processus stricts, la majorité des systèmes et applications sont isolés physiquement ou par permissions. Dans ce contexte, il est difficile pour OpenClaw de tirer pleinement parti de ses avantages, tels que l’exécution autonome de tâches, la fusion multi-plateformes ou l’extension dynamique des compétences. Par conséquent, il n’est pas recommandé aux institutions financières de déployer directement OpenClaw en environnement de production.

Dong Ximiao, économiste en chef de Zhaolian et directeur adjoint du Laboratoire de finance et de développement de Shanghai, a indiqué que le secteur financier, en particulier la banque, gère une quantité massive d’informations clients et de données transactionnelles. Pour tout domaine impliquant des fonds, des données clients ou des transactions clés, la sécurité et la conformité sont des piliers fondamentaux. « Par conséquent, à court terme, nous ne verrons pas une adoption à grande échelle d’OpenClaw dans les activités financières essentielles. »

L’Association chinoise de la finance Internet recommande que les consommateurs financiers soient extrêmement prudents lors de l’installation d’OpenClaw sur leurs terminaux pour la gestion de leurs opérations bancaires en ligne, transactions boursières ou paiements. Les institutions ne doivent pas installer OpenClaw sur des terminaux traitant des informations clients, des opérations financières, des vérifications de risque ou des exécutions de transactions, ni y entrer des données sensibles telles que les informations financières des clients, les données de transaction ou les documents d’approbation de crédit.

Selon les experts consultés, la décision de déployer ou non OpenClaw n’est qu’un cas isolé, mais la question cruciale concerne la « frontière » de l’application de l’IA. Le 11 mars, la Banque populaire de Chine a tenu la réunion de travail technologique 2026, en insistant sur la nécessité de renforcer l’intégration entre industrie et technologie, et de promouvoir de manière prudente, sûre et ordonnée l’utilisation de l’intelligence artificielle dans le secteur financier, afin de libérer la dynamique du développement numérique et intelligent.

« L’IA engendre une contradiction dans le système financier : d’un côté, une ‘augmentation de l’efficacité’ et de l’autre, une ‘reconstruction des scénarios’ : les scénarios évoluent rapidement, mais la conformité doit être zéro tolérance. » Qi Xiangdong, président de Qi An Xin, a déclaré au Shanghai Securities que « la rapidité » concerne l’application de l’IA dans la finance, ce qui accélère la mise en œuvre des scénarios tout en exposant rapidement aux risques. « La ‘zéro tolérance’ concerne la conformité et la gestion des risques : les banques, sociétés de valeurs mobilières et assurances doivent renforcer leurs systèmes de sécurité réseau et de protection des données pour éviter de franchir la ligne rouge de la conformité. »

Dong Ximiao pense que l’avenir de l’application des agents intelligents sera probablement caractérisé par une phase initiale où les banques testeront à petite échelle dans des scénarios à faible risque, tels que l’assistance client, le traitement de documents ou la recherche dans des bases de connaissances internes. Ensuite, elles procéderont à une transformation approfondie des modèles et à leur déploiement en mode privé, en établissant un système de gouvernance de l’IA pour contrôler les risques dès la source, puis en décidant, selon les cas, de leur extension aux activités et scénarios clés.

Outre les risques liés à la déploiement interne de l’IA par les institutions financières, les agents intelligents offrent également aux malfaiteurs de nouveaux outils de fraude, dont les risques dérivés ne doivent pas être sous-estimés.

L’Association chinoise de la finance Internet indique que des malfaiteurs pourraient utiliser des discours tels que « IA pour spéculer en bourse » ou « gains garantis » pour réaliser des escroqueries financières, en exploitant la popularité d’OpenClaw pour imiter en masse des institutions financières, publier de fausses informations, et induire le public à télécharger des applications frauduleuses ou à transférer des fonds vers des comptes désignés. De plus, ils pourraient se faire passer pour des techniciens pour installer à distance des logiciels malveillants ou voler des informations sensibles financières. Les rapports montrent que les cas de fraude financière impliquant l’IA connaissent une croissance rapide, et la capacité du public à repérer ces nouvelles méthodes d’escroquerie doit être renforcée.