近日,字节跳动的安全团队发布了一份名为《OpenClaw安全规范和使用指引》的文件,并同时推出了ByteClaw服务。该服务基于火山引擎ArkClaw企业版开发,能够在公司的账号系统内实现统一的身份验证、访问控制和权限管理,帮助员工安全地访问公司内部资源。
该《安全规范》还特别指出了OpenClaw可能遇到的五种常见风险,包括访问控制不当、提示词注入、敏感信息泄露、供应链漏洞以及恶意插件投毒,并为每一种风险提供了相应的安全要求和配置指南。
字节跳动的安全团队建议员工优先使用ByteClaw等已经完成安全基线配置的合规工具,并将其统一托管到云端平台进行维护,以持续预防各种安全威胁。同时,《安全规范》还明确禁止员工在业务服务器等关键生产环境中安装和使用OpenClaw类工具,以免占用业务资源或引发安全事件;对于确有需求在办公电脑上安装相关工具的情况,也必须严格按照安全配置指南进行合规设置。