财联社3月11日讯(记者 林坚)前脚券商圈还在跟风“养虾”(Open Claw),后脚全行业直接按下紧急暂停键。

记者了解到,今天开始,券商密集下发关于“小龙虾”的内部合规提醒或相关通知,针对安装、使用、接入作出明确限制,目前已有至少20家券商加入防控行列。行业人士预测,今明两天会有更多券商发布相关合规提醒。有IT人士称,“下午刚写好提醒,今晚大概就会内网发。”

禁止下载或是下载要报备均是硬要求。从覆盖范围看,此次防控并非个别机构行为,而是行业性、趋势性的统一动作,这直接源于中央网信办、工信部的官方风险通报。OpenClaw作为代理式AI代表,采用本地优先架构,被赋予文件读写、命令执行、工具接管等高阶权限,但安全设计存在明显短板,被监管明确列为高风险应用。

对证券行业而言,客户信息、交易数据、投研成果均为核心敏感资产,任何终端漏洞都可能引发数据泄露、系统被入侵等严重后果。监管预警一出来,各家券商立刻响应,生怕慢一步踩雷。

禁止私装、审批报备、卸载整改

券商圈的“养虾热”会一夜凉透吗?并不见然。

总体来看,面对安全风险,券商普遍采取“禁止为主、审批为辅、从严追责”的管控思路。绝大多数券商明确要求,员工未经许可,严禁在公司办公网络、业务网络及各类信息系统中安装、部署、使用OpenClaw。禁令覆盖公司配发电脑、笔记本、服务器、移动办公设备,同时限制个人设备在接入公司网络时运行该工具,从网络与终端两个维度切断风险入口。

截至目前,行业内形成两种典型管控模式:

一是严格管控型。要求即日起全面暂停安装与使用,已安装员工须立即卸载,个人电脑接入公司网络前完成自查清理,违规将依规追责;
二是流程审批型。确因研究、测试、业务需要使用的,须通过OA系统提交申请,经部门负责人、合规条线、信息技术部门三方审核,同时报备部署理由、责任人、设备IP与MAC地址、公网接入情况等信息。经审批通过的使用场景,必须落实网络隔离、强制认证、最小权限控制等加固措施,已私自部署的须补全审批流程。

多家券商在通知中明确,私自安装使用、未按要求落实安全措施引发安全事件的,将依据公司制度追究相关人员责任。

并非全员发文

记者也注意到,在密集防控的同时,行业内部也呈现明显分化,部分券商未同步发布通知,这次 “禁虾” 也暴露了券商数字化建设的差距。

一类机构凭借早期信创建设与终端管控体系,已实现外部软件源头拦截,主要集中在头部券商。这类券商办公终端对外来软件安装设有白名单,未经审核的程序无法下载安装,同时具备实时监控、自动拦截能力,无需额外发文即可实现风险阻断。

有券商从业者向记者展示了公司的软件检测装置,一旦安装,就会有提醒,并且关掉。“很显然,这有效防范了外部设备的安装。”

另一类机构,主要以小券商为主,则因IT资源投入、系统迭代节奏等原因,未跟进“养虾”热潮,员工使用渗透率低,短期内未形成安全隐患,因此暂未启动专项通知。有券商人士称,“我们公司IT本来投入就少,‘小龙虾’这种大家看看也就过去了。”

这种分化也反映出证券行业数字化建设的不均衡。头部机构与重视信息技术投入的券商,更早完成终端安全、网络隔离、权限管控等基础建设,面对新型AI工具风险时响应更从容;部分中小机构仍依赖事后通知、人工自查等传统方式,技术防控能力有待提升。

行业共同寻找AI工具边界

在一位IT人士看来,OpenClaw引发的行业防控,并非对AI技术的否定,而是证券行业在技术创新与合规安全之间寻找平衡的标志性事件。“毕竟对券商来说,再香的‘小龙虾’,也比不上合规安全。”

整体来看,证券行业对新型AI工具保持开放态度,支持投研、客服、运营等场景的效率提升,但坚持“安全先行、合规准入”的原则。面对快速迭代的AI产品,机构与从业人员均需建立风险意识,不盲目跟风、不私自部署,在确认安全可控、流程合规的前提下开展试用与研究。

但也以此次事件为契机,证券行业开始进一步明确AI工具使用的核心规则,比如敏感业务系统物理隔离,严禁AI接触客户隐私、交易数据、核心投研信息;严格执行最小权限原则,不授予超业务所需的系统权限;关键业务环节坚持人工终审,投资建议、交易执行、客户服务等必须人工把关;强化人机协同与全程风控,所有操作留痕、可追溯、可审计。