近日,随着开源AI智能体OpenClaw(俗称“龙虾”)在全球开发者中掀起热潮,其潜藏的安全风险也如冰山一角般浮出水面。在这一背景下,字节跳动于昨日(3月18日)面向内部率先打响“安全保卫战”,正式发布《OpenClaw安全规范和使用指引》,并同步推出企业级智能体服务 “ByteClaw”,旨在从源头强化大模型应用的内网访问管控,为火热的AI技术应用降温、纠偏 。
此次字节跳动的动作并非无的放矢。据新浪科技报道,随着OpenClaw这类具备高度自主执行能力的工具普及,其暴露面过大、易被恶意指令控制的问题日益严峻。甚至有安全机构数据显示,近9%暴露在互联网的OpenClaw资产存在漏洞风险,其官方插件平台ClawHub中恶意插件占比一度高达10.8% 。面对这一现状,字节安全团队此次发布的规范直指要害,明确指出了OpenClaw存在的访问控制设置不当、提示词注入、敏感信息窃取、供应链漏洞及恶意插件投毒等五类高风险问题 。
为从根本上解决员工“野蛮养虾”带来的安全隐患,字节跳动在此次规范中祭出了“工具+制度”的组合拳。内部推出的ByteClaw工具基于火山引擎ArkClaw企业版构建,并非简单的开源套壳,而是深度集成了公司的统一身份认证体系 。这意味着,员工调用内部资源将拥有唯一的“数字身份”,所有操作行为全程留痕,实现了从“谁都可以用”到“谁在用、做了什么、是否合规”的精细化管控。
值得注意的是,这份规范不仅仅是技术建议,更是一份严肃的内部“禁令”。字节安全团队在规范中划定了明确的行为红线:严禁员工在核心生产环境中安装和使用OpenClaw类工具,以避免挤占业务资源或引发灾难性的安全事故;同时,也不建议在办公电脑本地随意安装 。对于确有工作需求的员工,必须优先使用已完成安全基线配置的ByteClaw,或严格遵循安全指引进行“持证上岗”。
此举不仅是字节跳动内部的一次风险排查,更反映出头部科技企业在AI狂飙突进时代的一种集体理性。随着国安部及行业主管部门接连发布相关风险预警,大模型应用正在从单纯的追求“智能涌现”转向“安全可控” 。字节跳动通过发布ByteClaw及《安全规范》,为行业提供了一个关于AI智能体如何实现企业级内控与合规治理的参考范式——在享受技术红利的同时,唯有先筑牢安全的堤坝,才能让“数字员工”真正行稳致远。
关注 “悠AI” 更多干货技巧行业动态
相关文章
