字节跳动最近又放出了一套新工具和规范,给他们公司的大模型访问内网环境的安全管理上了一把锁。据新浪科技说,这次他们给员工弄出了一个ByteClaw合规工具,还有一份详细的《OpenClaw安全规范和使用指引》。这俩东西都是想给员工们一个标准的方法,把大模型在公司内部用的时候的那些安全麻烦给解决了。ByteClaw是用火山引擎的ArkClaw企业版搞出来的,能在公司账号体系里把身份认证、访问控制还有权限管理给统一起来,把底层的基础给员工们搭建好了。针对大家用大模型时容易碰到的访问控制失效、提示词注入、敏感信息泄露、供应链漏洞和恶意插件投毒这五种问题,规范里明确提出了技术防范的要求。字节跳动的安全团队特意强调了一下,ByteClaw这种云端托管平台已经把安全基线都配好了,能帮着收敛攻击面,还能一直盯着运维情况呢。在具体部署这块儿上,字节跳动直接规定不能在业务服务器这些核心生产环境里装这个工具。如果非得在办公电脑上装本地版本用的话,也得死死守着合规指引把安全配置弄好了才行。 这说明这些大厂在想用AI提升效率的同时,也在拼命补大模型应用的安全合规这块短板。像OpenClaw这种开源框架越来越普及了,企业级的安全合规就成了大模型从搞技术实验变成业务落地的一个关键因素。字节跳动这次搞的这套规范化动作,也给整个行业提供了一个很好的参考样板。