近日,开源AI智能体工具OpenClaw(昵称“龙虾”)的广泛应用引发了业界对其安全风险的担忧。为应对这一情况,字节跳动安全团队面向公司内部发布了一份《OpenClaw安全规范和使用指引》,并同步推出了企业级服务“ByteClaw”,以保障员工在使用相关工具时的安全性。
据了解,ByteClaw是基于火山引擎ArkClaw企业版开发的,能够在公司账号体系下实现统一的身份认证、访问控制与权限管理。这一服务支持员工安全调用公司内部资源,有效降低了潜在的安全风险。
在发布的《安全规范》中,字节跳动安全团队明确指出了OpenClaw存在的五类常见安全风险,包括访问控制设置不当、提示词注入、敏感信息窃取、供应链漏洞以及恶意插件投毒。针对每一类风险,规范都提出了具体的安全要求和配置指南,帮助员工更好地防范和应对。
为确保员工使用工具的安全性,字节安全团队建议优先使用ByteClaw等已完成安全基线配置的合规工具。这类工具可统一托管至云端平台进行运维,能够持续防范各类安全风险,为员工提供更加安全的工作环境。
同时,规范还强调了员工在使用OpenClaw类工具时的限制。严禁在业务服务器等核心生产环境中安装和使用此类工具,以避免挤占业务资源或引发安全事故。对于办公电脑本地安装相关工具的需求,规范也提出了严格的要求,员工需严格按照安全配置指引完成合规设置后再使用。
