3月18日消息,开源AI智能体工具OpenClaw(昵称“龙虾”)近期快速走红、广泛普及,其背后潜藏的安全隐患也日益凸显,引发业界广泛关注与警惕。据悉,该工具作为一款可本地部署的开源AI助手,具备较强的执行能力,但架构设计、默认配置等方面存在诸多安全漏洞,易被攻击者利用。
据新浪科技当日报道,为防范相关安全风险,字节跳动安全团队近期已面向公司内部,正式发布《OpenClaw安全规范和使用指引》,同时同步推出企业级服务ByteClaw,为员工提供安全合规的使用选择。
据悉,ByteClaw基于火山引擎ArkClaw企业版研发打造,可依托公司账号体系,实现统一身份认证、访问控制及权限管理,确保员工能够安全、合规地调用公司内部各类资源,从源头规避安全风险。
此次发布的《安全规范》中,明确列出OpenClaw存在的五类常见安全风险,涵盖访问控制设置不当、提示词注入、敏感信息窃取、供应链漏洞及恶意插件投毒等,且针对每类风险都配套了具体的安全要求与配置指南,为员工使用提供明确指引。
字节跳动安全团队特别建议,员工应优先选用ByteClaw这类已完成安全基线配置的合规工具,此类工具可统一托管至云端平台进行运维,持续抵御各类安全威胁。同时规范强调,严禁在业务服务器等核心生产环境自行安装使用OpenClaw类工具,避免挤占业务资源或引发安全事故;办公电脑本地亦不建议安装,确有工作需求需严格遵循安全配置指引操作。
相关资讯
