字节跳动被曝在内部推出ByteClaw并发布“龙虾”安全规范，应对AI智能体安全风险

3月18日，随着开源 AI 智能体工具 OpenClaw（IT之家注：昵称“龙虾”）的快速普及，其引发的安全风险也受到业界高度关注。

据新浪科技今日报道，字节跳动安全团队近日面向公司内部发布了《OpenClaw 安全规范和使用指引》，并同步面向员工推出企业级服务“ByteClaw”。

据介绍，ByteClaw 基于火山引擎 ArkClaw 企业版开发，可在公司账号体系下实现统一的身份认证、访问控制与权限管理，支持员工安全调用公司内部资源。

此次发布的《安全规范》明确指出，OpenClaw 存在五类常见安全风险，包括访问控制设置不当、提示词注入、敏感信息窃取、供应链漏洞以及恶意插件投毒，并针对每一类风险提出了具体的安全要求和配置指南。

字节安全团队建议员工优先使用 ByteClaw 等已完成安全基线配置的合规工具，这类工具可统一托管至云端平台进行运维，持续防范各类安全风险。

规范同时强调，请勿在业务服务器等核心生产环境自行安装和使用 OpenClaw 类工具，以避免挤占业务资源或引发安全事故；不建议员工在办公电脑本地安装相关工具，如确有工作需求，需严格按照安全配置指引完成合规设置后再使用。