【CNMO 科技消息】3 月 18 日，据新浪科技报道，字节跳动安全团队已在内部发布了《OpenClaw 安全规范和使用指引》，并同步面向员工推出企业级工具 "ByteClaw"，以规范相关技术的使用。

据 CNMO 了解，此举发生在国家相关部门接连发布风险预警的背景下。此前，国家网络与信息安全信息通报中心明确指出，OpenClaw 在架构设计、默认配置等方面存在重大安全隐患，例如默认绑定公网地址导致暴露比例高达 85%，且历史漏洞多达 258 个。工信部及中国信通院专家也强调，智能体存在 " 信任边界模糊 "、易被恶意指令利用等风险。

字节跳动此次发布的内部规范，精准识别了 OpenClaw 面临的五类主要风险：访问控制设置不当、提示词注入、敏感信息窃取、供应链漏洞以及恶意插件投毒。针对这些风险，安全团队给出了明确的防范指引。

规范建议员工优先使用字节跳动基于火山引擎 ArkClaw 企业版构建的 "ByteClaw"。该工具实现了统一的身份认证与权限管理，能有效规避安全风险。与此同时，规范划定了严格的使用红线：严禁员工在业务服务器等核心生产环境中安装使用 OpenClaw 类工具，以防挤占资源或引发安全事故；对于办公电脑，也不建议本地安装，如确有工作需求，则必须严格按照安全配置指引完成合规设置。

分析指出，OpenClaw 的开放性使其插件生态成为攻击重灾区。有报告显示，其官方插件平台 ClawHub 中恶意插件占比高达 10.8%。另有安全机构发现，近 9% 暴露在互联网的 OpenClaw 资产存在漏洞风险。字节跳动此次从企业内部入手，通过发布规范与推出合规工具 "ByteClaw" 双管齐下，旨在平衡技术创新与信息安全，为员工安全、合规地使用 AI 智能体划定清晰边界。