Skenario Keuangan Hati-hati Memelihara "Lobster", Asosiasi Fintech Peringatkan Empat Risiko Inti

AI · Agen Cerdas Bagaimana Melampaui Ambang Penjelasan untuk Melayani Industri Keuangan?

Baru-baru ini, popularitas pengunduhan dan penggunaan AI open-source OpenClaw (alias “Lobster”) terus meningkat. Agen ini secara default memiliki hak akses sistem yang tinggi dan dapat langsung mengendalikan komputer berdasarkan instruksi bahasa alami. Beberapa waktu lalu, Platform Berbagi Informasi Ancaman dan Kerentanan Keamanan Siber (NVDB) dari Kementerian Industri dan Teknologi Informasi, serta Pusat Respon Darurat Internet Nasional (CNCERT), telah mengeluarkan peringatan risiko keamanan terkait.

Pada 15 Maret, Asosiasi Keuangan Internet Tiongkok merilis “Peringatan Risiko Keamanan dalam Aplikasi OpenClaw di Industri Keuangan Internet” (selanjutnya disebut “Peringatan Risiko”) yang menyatakan bahwa saat ini, industri keuangan internet sangat digital dan online, langsung menangani dana, aset, akun, dan data keuangan pribadi pelanggan yang sangat sensitif. Meskipun OpenClaw dapat meningkatkan efisiensi kerja, hak akses sistem yang tinggi secara default dan konfigurasi keamanan yang lemah sangat rentan dimanfaatkan oleh penyerang, menjadi celah untuk mencuri data sensitif atau mengendalikan transaksi secara ilegal, membawa risiko serius bagi industri.

Kepala Analis Bortom Consulting, Wang Pengbo, mengatakan kepada First Financial bahwa gelombang agen cerdas open-source yang dipicu oleh OpenClaw sedang meningkat. Namun, saat gelombang ini menyasar industri keuangan, tantangan besar muncul terkait kecocokan dan kelayakannya. Dalam industri yang diawasi ketat, berisiko tinggi, dan penuh tanggung jawab, lembaga keuangan harus berhati-hati dan tidak boleh mengikuti tren teknologi secara sembarangan.

Data dan Transaksi Rentan Terancam

“Bisnis inti industri keuangan, termasuk kredit, transaksi, manajemen risiko, dan pembayaran, langsung berkaitan dengan keamanan dana, hak pengguna, dan stabilitas sistem. Setiap penerapan teknologi harus didasarkan pada kepatuhan dan keamanan. Saat ini, agen cerdas open-source umumnya menekankan otomatisasi end-to-end, tetapi logika operasinya bertentangan dengan kebutuhan pengawasan keuangan yang menuntut penjelasan, pelacakan, dan intervensi manusia,” kata Wang Pengbo.

Asosiasi Keuangan Internet mengidentifikasi empat risiko utama dari OpenClaw di industri keuangan internet. Pertama, risiko kerugian dana. Peringatan risiko menyebutkan bahwa OpenClaw telah mengungkapkan beberapa kerentanan berisiko sedang hingga tinggi yang dapat dieksploitasi oleh penyerang untuk mengendalikan perangkat melalui injeksi kata kunci atau kerentanan lainnya. Selain itu, plugin fungsi (Skills) tidak memiliki mekanisme audit keamanan komunitas yang efektif, dan telah terjadi beberapa insiden penyebaran plugin berbahaya. Dalam konteks keuangan, risiko ini dapat digunakan untuk mencuri password internet banking, kunci pembayaran, kredensial API transaksi sekuritas, dan data sensitif lainnya, lalu masuk ke sistem perbankan online atau transaksi sekuritas untuk melakukan operasi dana, langsung merugikan nasabah.

Kedua, risiko tanggung jawab transaksi. Asosiasi menyatakan bahwa agen cerdas OpenClaw mampu melakukan eksekusi otomatis beberapa langkah, dan beberapa pengguna menggunakannya untuk memantau saham dan menguji strategi investasi. Proses otomatis ini berisiko salah operasi, seperti transfer dana atau pembelian produk investasi, yang dapat menyebabkan kerugian nyata. Teknologi AI saat ini belum sepenuhnya dapat dijelaskan, sehingga sulit menentukan pihak yang bertanggung jawab atas transaksi otomatis, menimbulkan ketidakpastian hukum.

Ketiga, risiko kepatuhan data. Agen OpenClaw memiliki memori jangka panjang, dan data yang dihasilkan selama operasinya disimpan secara lokal dalam catatan sesi dan file memori. Saat menggunakan API model besar atau melakukan operasi lain, data tersebut dapat dikirim ke pihak ketiga.

Asosiasi menyatakan bahwa skenario keuangan internet melibatkan data sensitif seperti data kredit, dokumen persetujuan kredit, dan riwayat transaksi. Setelah data ini masuk ke rantai pengolahan AI, cakupan akses dan periode penyimpanannya bisa melebihi kebutuhan bisnis asli, menimbulkan risiko kepatuhan pengelolaan data keuangan.

Selain itu, muncul risiko penipuan baru. Asosiasi menyebutkan bahwa pelaku kejahatan dapat melakukan penipuan investasi dengan modus “AI untuk trading saham” atau “keuntungan pasti”, menggunakan popularitas Lobster untuk meniru institusi keuangan dan menyebarkan informasi palsu secara massal, mengelabui masyarakat agar mengunduh aplikasi palsu atau mentransfer ke rekening tertentu. Pelaku juga bisa mengklaim “menginstal atas nama” atau “remote debugging” untuk mengendalikan perangkat konsumen, menyisipkan malware, atau mencuri data keuangan sensitif. Laporan menunjukkan bahwa kasus penipuan keuangan terkait AI meningkat pesat, dan kemampuan masyarakat mengenali modus penipuan baru ini masih perlu ditingkatkan.

Hati-hati Instalasi, Waspadai Penipuan

Menanggapi risiko tersebut, Asosiasi Keuangan Internet Tiongkok mengajukan empat saran pencegahan.

Pertama, disarankan agar konsumen keuangan sangat berhati-hati saat menginstal OpenClaw di perangkat untuk layanan perbankan online, transaksi sekuritas, dan pembayaran. Jika memang perlu, jangan berikan hak akses sistem layanan keuangan, segera perbaiki kerentanan OpenClaw, batasi pemasangan plugin, dan hindari memasukkan data sensitif seperti nomor identitas, nomor kartu bank, atau password pembayaran saat menggunakan aplikasi ini. Selain itu, karena aplikasi ini terus memanggil API model besar, biaya token bisa tinggi, sehingga pengguna harus memantau penggunaannya secara ketat.

Kedua, waspadai penipuan keuangan dengan modus “investasi lobster”, “AI trading saham”, atau “keuntungan pasti”. Pastikan semua transaksi transfer dan investasi dilakukan melalui saluran resmi, dan jangan percaya pada pihak ketiga yang mengklaim “menginstal atas nama” atau melakukan “remote debugging” perangkat pribadi.

Ketiga, lembaga terkait disarankan tidak menginstal OpenClaw di perangkat yang menangani data pelanggan, dana, manajemen risiko, atau eksekusi transaksi. Jangan masukkan data sensitif seperti data keuangan pelanggan, data transaksi, atau dokumen persetujuan kredit ke agen ini atau kaitkan dengan rantai pengolahan data tersebut.

Keempat, lembaga harus memasukkan pengelolaan keamanan aplikasi agen cerdas seperti OpenClaw ke dalam sistem manajemen keamanan informasi mereka. Melalui pelatihan keamanan khusus untuk staf, tingkatkan kemampuan mereka dalam mengenali dan mencegah risiko keamanan terkait penggunaan agen cerdas ini.

Wang Pengbo berpendapat bahwa agen cerdas open-source tidak sepenuhnya tanpa nilai bagi industri keuangan. Keunggulannya adalah menurunkan biaya dan meningkatkan efisiensi, serta otomatisasi banyak pekerjaan pendukung yang berulang dan beraturan. Jika agen AI open-source ingin benar-benar masuk ke skenario inti keuangan, mereka harus melewati beberapa ambang penting, termasuk mewujudkan algoritma yang dapat dijelaskan dan dilacak, membangun mekanisme pembagian tanggung jawab yang jelas, memastikan sistem kepatuhan data dan perlindungan privasi sesuai standar keuangan, serta mempertahankan hak intervensi manusia dan mekanisme penghentian otomatis untuk mencegah risiko yang tidak dapat dibalik.

(Artikel ini dari First Financial)