最近,证券行业突然对“小龙虾”(OpenClaw)按下暂停键。多家券商开始下发内部合规提醒或相关通知,针对安装、使用、接入作出明确限制。目前已有至少20家券商加入防控行列,预计未来两天会有更多券商发布相关合规提醒。
禁止下载或是下载要报备是硬性要求。此次防控并非个别机构行为,而是行业性的统一动作,源于中央网信办、工信部的官方风险通报。OpenClaw作为代理式AI工具,采用本地优先架构,拥有高阶权限,但安全设计存在明显短板,被监管列为高风险应用。
对证券行业来说,客户信息、交易数据和投研成果都是核心敏感资产,任何终端漏洞都可能引发严重后果。监管预警一出,各家券商立刻响应,生怕慢一步踩雷。
面对安全风险,券商普遍采取“禁止为主、审批为辅、从严追责”的管控思路。绝大多数券商明确要求,员工未经许可严禁在公司办公网络、业务网络及各类信息系统中安装、部署、使用OpenClaw。禁令覆盖公司配发电脑、笔记本📓、『服务器』、移动办公设备,并限制个人设备在接入公司网络时运行该工具,从网络与终端两个维度切断风险入口。
行业内形成两种典型管控模式:一是严格管控型,即日起全面暂停安装与使用,已安装员工须立即卸载,违规将依规追责;二是流程审批型,确因研究、测试、业务需要使用的,须通过OA系统提交申请,经多部门审核后方可使用,同时落实加固措施。
部分券商未同步发布通知,这次“禁虾”也暴露了券商『数字化』建设的差距。一些头部券商凭借早期信创建设与终端管控体系,已实现外部软件源头拦截,无需额外发文即可实现风险阻断。另一类以小券商为主,因IT资源投入不足,未跟进“养虾”热潮,短期内未形成安全隐患,因此暂未启动专项通知。
这种分化反映出证券行业『数字化』建设的不均衡。头部机构和重视信息技术投入的券商更早完成终端安全、网络隔离、权限管控等基础建设,面对新型AI工具风险时响应更从容;部分中小机构仍依赖事后通知、人工自查等传统方式,技术防控能力有待提升。
OpenClaw引发的行业防控并非否定AI技术,而是证券行业在技术创新与合规安全之间寻找平衡的标志性事件。证券行业对新型AI工具保持开放态度,支持投研、客服、运营等场景的效率提升,但坚持“安全先行、合规准入”的原则。面对快速迭代的AI产品,机构与从业人员需建立风险意识,在确认安全可控、流程合规的前提下开展试用与研究。
此次事件促使证券行业进一步明确AI工具使用的核心规则,比如敏感业务系统物理隔离,严禁AI接触客户隐私、交易数据、核心投研信息;严格执行最小权限原则,关键业务环节坚持人工终审,强化人机协同与全程风控,所有操作留痕、可追溯、可审计。
