3月18日,字节跳动安全团队在公司内部正式发布《OpenClaw安全规范和使用指引》,同时面向全体员工推出企业级服务ByteClaw。此举旨在规范AI智能体在企业环境中的安全使用,防范潜在风险。
安全规范明确五大风险点
《安全规范》详细指出OpenClaw存在五类常见安全风险,包括访问控制设置不当、提示词注入攻击、敏感信息窃取、供应链漏洞以及恶意插件投毒。针对每类风险,规范提供了具体的安全要求和配置指南。
规范特别强调,未经安全加固的OpenClaw在核心生产环境中使用可能导致严重安全隐患。字节跳动安全团队已监测到多起因配置不当导致的内部系统异常访问事件。
ByteClaw企业版如何保障安全
新推出的ByteClaw服务基于火山引擎ArkClaw企业版构建,能够在公司统一账号体系下实现身份认证、访问控制与权限管理。该服务支持员工安全调用公司内部资源,有效规避开源版本的安全隐患。
ByteClaw通过严格的权限隔离机制,确保AI智能体只能在授权范围内操作,同时提供操作日志审计功能,实现全流程安全监控。
行业背景与监管动态
近期,OpenClaw(因图标被昵称为"龙虾")在全球范围内迅速走红,国内更是掀起"养龙虾"热潮。然而,技术热潮之下,安全风险不容忽视。工信部于2026年3月11日通过网络安全威胁和漏洞信息共享平台发布重要安全预警。
国家互联网应急中心直指其默认配置高危漏洞与权限失控风险,已有十余所高校发布禁令,要求在校内办公设备及工作场景中禁止使用未经安全加固的OpenClaw。
企业应对策略与未来展望
字节跳动安全团队建议员工优先选用像ByteClaw这类完成安全基线配置的合规工具,此类工具可统一托管至云端平台进行运维,能持续防范各类安全风险。
当前,腾讯、华为、阿里巴巴、百度等科技巨头已纷纷推出各自的类OpenClaw工具,着重强调确保Agent产品的安全能力。业内专家认为,随着AI智能体应用的普及,企业级安全解决方案将成为行业标配。
此次字节跳动的安全规范发布,标志着大模型应用正从技术探索阶段进入规范化发展阶段,为行业提供了可借鉴的安全治理范本。
