جمعية التمويل الإنترنت تصدر تحذيراً من المخاطر بشأن سلامة تطبيق OpenClaw في صناعة التمويل الإنترنت

15 مارس، جمعية الإنترنت المالية الصينية أصدرت تنبيهًا بشأن مخاطر تطبيق OpenClaw في أمان صناعة التمويل عبر الإنترنت.

مؤخرًا، زاد بشكل مستمر شعبية تحميل واستخدام الذكاء الاصطناعي المفتوح المصدر OpenClaw (“السلطعون”)، والذي عادةً يمنح صلاحيات عالية على النظام، ويمكنه وفقًا للأوامر باللغة الطبيعية التحكم مباشرة في الحواسيب والأجهزة الطرفية. مؤخرًا، أصدرت منصة مشاركة معلومات التهديدات والثغرات الأمنية للشبكة (NVDB) والمركز الوطني للطوارئ على الإنترنت (CNCERT) تنبيهات أمنية ذات صلة. حاليًا، صناعة التمويل عبر الإنترنت عالية الرقمنة، وتعالج بشكل مباشر معلومات حساسة مثل أموال العملاء، الأصول، الحسابات، والبيانات الشخصية. على الرغم من أن الذكاء الاصطناعي OpenClaw يمكن أن يعزز الكفاءة، إلا أن الصلاحيات العالية الافتراضية وإعدادات الأمان الضعيفة تجعلها عرضة للاستغلال من قبل المهاجمين، مما قد يؤدي إلى سرقة البيانات الحساسة أو التحكم غير القانوني في المعاملات، مما يهدد الصناعة بمخاطر جسيمة. وفيما يلي تنبيه جمعية الإنترنت المالية الصينية حول هذه المخاطر:

أولًا: أبرز المخاطر

(1) مخاطر خسارة الأموال

كشف OpenClaw عن عدة ثغرات عالية ومتوسطة الخطورة، يمكن للمهاجمين استغلالها أو حقن كلمات التحفيز للحصول على السيطرة على الأجهزة. بالإضافة إلى ذلك، فإن الإضافات (Skills) المستخدمة بشكل شائع تفتقر إلى آليات مراجعة أمنية فعالة من المجتمع، وقد حدثت عدة حالات تسميم إضافات خبيثة. في سياق التمويل، يمكن استغلال هذه المخاطر لسرقة كلمات مرور الإنترنت البنكي، مفاتيح الدفع، بيانات واجهات برمجة التطبيقات للتداول في الأوراق المالية، وغيرها من المعلومات الحساسة، مما يمكن المهاجمين من الدخول إلى الحسابات المصرفية الإلكترونية، أنظمة التداول، وتنفيذ عمليات مالية، مما يتسبب في خسائر للعملاء.

(2) مخاطر المسؤولية عن المعاملات

يتمتع OpenClaw بقدرة على تنفيذ عمليات متعددة بشكل مستقل، وقد استخدمه بعض المستخدمين لمراقبة الأسهم واختبار استراتيجيات الاستثمار في سياقات مالية. قد يؤدي التشغيل الآلي إلى أخطاء في عمليات تحويل الأموال أو شراء منتجات استثمارية، مما يسبب خسائر فعلية. حاليًا، لا تزال تقنيات الذكاء الاصطناعي غير قابلة للتفسير بشكل كامل، مما يصعب تحديد المسؤولية عن المعاملات المالية التي تتم تلقائيًا، وتوجد حالة من عدم اليقين القانوني حول ذلك.

(3) مخاطر الامتثال للبيانات

يتمتع OpenClaw بوظيفة ذاكرة دائمة، حيث يتم تخزين البيانات الناتجة أثناء التشغيل بشكل مستمر في سجلات الجلسة وملفات الذاكرة المحلية. عند استدعاء واجهات برمجة التطبيقات لنماذج كبيرة أو إجراء عمليات أخرى، قد يتم نقل البيانات إلى طرف ثالث. تتعلق صناعة التمويل عبر الإنترنت ببيانات حساسة جدًا مثل بيانات الائتمان، مواد الموافقة على القروض، وسجلات المعاملات. بعد دخول هذه البيانات إلى سلسلة معالجة الذكاء الاصطناعي، قد يتجاوز نطاق الوصول ومدة الاحتفاظ بها الأغراض الأصلية للأعمال، مما يثير مخاطر عدم الامتثال لإدارة البيانات المالية.

(4) مخاطر الاحتيال الجديدة

قد يستخدم المحتالون عبارات مثل “الذكاء الاصطناعي للتداول” أو “ضمان الربح” لتنفيذ عمليات احتيال استثمارية، ويستغلون شعبية “السلطعون” لنشر معلومات زائفة بشكل جماعي، ويغررون الجمهور بتنزيل تطبيقات مزيفة أو تحويل الأموال إلى حسابات محددة. بالإضافة إلى ذلك، قد يستخدم المحتالون عبارات مثل “تثبيت عن بعد” أو “التصحيح عن بعد” للحصول على السيطرة على أجهزة المستخدمين، وزرع برامج خبيثة أو سرقة معلومات مالية حساسة. تشير التقارير إلى أن حالات الاحتيال المالي المرتبطة بالذكاء الاصطناعي تتزايد بسرعة، ويحتاج الجمهور إلى تعزيز قدرته على التعرف على هذه الأساليب الجديدة.

ثانيًا: نصائح الوقاية

وفيما يلي اقتراحات جمعية الإنترنت المالية الصينية للوقاية من هذه المخاطر:

(1) ينصح المستهلكون الماليون بالحذر الشديد عند تثبيت OpenClaw على الأجهزة المستخدمة في الخدمات المالية الشخصية مثل الإنترنت البنكي، التداول في الأوراق المالية، والدفع. وإذا كان التثبيت ضروريًا، يُنصح بعدم منح صلاحيات التشغيل على أنظمة الخدمات المالية، ومتابعة إصلاح الثغرات بشكل منتظم، والحد من تثبيت الإضافات، وعدم إدخال معلومات حساسة مثل رقم الهوية، رقم البطاقة البنكية، أو كلمات المرور أثناء الاستخدام. كما أن التطبيقات التي تعمل باستمرار على استدعاء واجهات نماذج كبيرة قد تتسبب في تكاليف عالية من حيث الرموز (Tokens)، لذا يُنصح المستخدمون بمراقبة ذلك عن كثب.

(2) ينصح المستهلكون الماليون بالحذر من عمليات الاحتيال المالي التي تُنَفَّذ تحت شعارات مثل “تربية الروبيان للاستثمار” أو “الذكاء الاصطناعي للتداول”، ويجب إجراء عمليات التحويل والاستثمار عبر قنوات رسمية، وعدم تصديق الآخرين عند ادعائهم “تثبيت عن بعد” أو “تصحيح عن بعد” للوصول إلى أجهزتهم الشخصية.

(3) يُنصح المؤسسات بعدم تثبيت OpenClaw على الأجهزة التي تتعامل مع معالجة معلومات العملاء، أو عمليات التمويل، أو مراجعة المخاطر، أو تنفيذ المعاملات، وعدم إدخال البيانات الحساسة مثل معلومات العملاء، بيانات المعاملات، أو مواد الموافقة على القروض إلى هذا الذكاء الاصطناعي أو ربطه بسلسلة المعالجة الخاصة به.

(4) يُنصح المؤسسات بإدراج إدارة أمن تطبيقات الذكاء الاصطناعي مثل OpenClaw ضمن نطاق إدارة أمن المعلومات في مؤسساتها، وتنظيم تدريبات أمنية خاصة للموظفين، لتعزيز قدراتهم على التعرف على مخاطر أمان تطبيقات الذكاء الاصطناعي واتخاذ التدابير الوقائية اللازمة.