字节跳动公司内部发布了一份叫OpenClaw的安全规范,还把他们的企业级工具ByteClaw给推了出来。智通财经APP说,有媒体爆料,字节跳动的安全团队在公司内部把《OpenClaw安全规范和使用指引》给发了下去,还给员工推荐了ByteClaw这个工具。这个工具是基于火山引擎的ArkClaw企业版建起来的,能让公司账号系统里的身份认证、访问控制还有权限管理都统一起来。这样员工在用公司资源的时候就会更安全,避免出什么乱子。 这个规范里提到,OpenClaw在使用过程中存在五种常见的风险,比如访问控制设置得不对、提示词注入、敏感讯息被偷、供应链有漏洞、还有恶意插件攻击。针对这些问题,团队都给提了些安全要求和怎么配置的指南。字节跳动建议员工先去用已经弄好安全基线的合规工具,像ByteClaw这种能统一托管到云端平台维护的最好。 规范还划了几条严格的红线:不让员工在业务服务器这种关键生产环境自己装OpenClaw这类工具,怕占用资源或者出事。也不建议大家在办公电脑本地安装相关的工具,要是真有需要就必须得按照安全指引一步步配置好后再用。 这个内部规范发出来的时候正好赶上国家相关部门连着发风险预警。之前国家网络与信息安全信息通报中心说过,OpenClaw的架构设计和默认设置上有大问题,比如默认连到公网上暴露了85%的数据流量,历史上还有258个漏洞没修好。工信部和中国信通院的专家也强调过智能体有信任边界不清晰、容易被坏人利用的问题。