证券业集体暂停键 至少20家券商禁止公司网络“养虾”

　　前脚券商圈还在跟风“养虾”（Open Claw），后脚全行业直接按下紧急暂停键。

　　记者了解到，今天开始，券商密集下发关于“小龙虾”的内部合规提醒或相关通知，针对安装、使用、接入作出明确限制，目前已有至少20家券商加入防控行列。行业人士预测，今明两天会有更多券商发布相关合规提醒。有IT人士称，“下午刚写好提醒，今晚大概就会内网发。”

　　禁止下载或是下载要报备均是硬要求。从覆盖范围看，此次防控并非个别机构行为，而是行业性、趋势性的统一动作，这直接源于中央网信办、工信部的官方风险通报。OpenClaw作为代理式AI代表，采用本地优先架构，被赋予文件读写、命令执行、工具接管等高阶权限，但安全设计存在明显短板，被监管明确列为高风险应用。

　　对证券行业而言，客户信息、交易数据、投研成果均为核心敏感资产，任何终端漏洞都可能引发数据泄露、系统被入侵等严重后果。监管预警一出来，各家券商立刻响应，生怕慢一步踩雷。

　　禁止私装、审批报备、卸载整改

　　券商圈的“养虾热”会一夜凉透吗？并不见然。

　　总体来看，面对安全风险，券商普遍采取“禁止为主、审批为辅、从严追责”的管控思路。绝大多数券商明确要求，员工未经许可，严禁在公司办公网络、业务网络及各类信息系统中安装、部署、使用OpenClaw。禁令覆盖公司配发电脑、笔记本、服务器、移动办公设备，同时限制个人设备在接入公司网络时运行该工具，从网络与终端两个维度切断风险入口。

　　截至目前，行业内形成两种典型管控模式：

　　一是严格管控型。要求即日起全面暂停安装与使用，已安装员工须立即卸载，个人电脑接入公司网络前完成自查清理，违规将依规追责；

　　二是流程审批型。确因研究、测试、业务需要使用的，须通过OA系统提交申请，经部门负责人、合规条线、信息技术部门三方审核，同时报备部署理由、责任人、设备IP与MAC地址、公网接入情况等信息。经审批通过的使用场景，必须落实网络隔离、强制认证、最小权限控制等加固措施，已私自部署的须补全审批流程。

　　多家券商在通知中明确，私自安装使用、未按要求落实安全措施引发安全事件的，将依据公司制度追究相关人员责任。

　　并非全员发文

　　记者也注意到，在密集防控的同时，行业内部也呈现明显分化，部分券商未同步发布通知，这次 “禁虾” 也暴露了券商数字化建设的差距。

　　一类机构凭借早期信创建设与终端管控体系，已实现外部软件源头拦截，主要集中在头部券商。这类券商办公终端对外来软件安装设有白名单，未经审核的程序无法下载安装，同时具备实时监控、自动拦截能力，无需额外发文即可实现风险阻断。

　　有券商从业者向记者展示了公司的软件检测装置，一旦安装，就会有提醒，并且关掉。“很显然，这有效防范了外部设备的安装。”

　　另一类机构，主要以小券商为主，则因IT资源投入、系统迭代节奏等原因，未跟进“养虾”热潮，员工使用渗透率低，短期内未形成安全隐患，因此暂未启动专项通知。有券商人士称，“我们公司IT本来投入就少，‘小龙虾’这种大家看看也就过去了。”

　　这种分化也反映出证券行业数字化建设的不均衡。头部机构与重视信息技术投入的券商，更早完成终端安全、网络隔离、权限管控等基础建设，面对新型AI工具风险时响应更从容；部分中小机构仍依赖事后通知、人工自查等传统方式，技术防控能力有待提升。

　　行业共同寻找AI工具边界

　　在一位IT人士看来，OpenClaw引发的行业防控，并非对AI技术的否定，而是证券行业在技术创新与合规安全之间寻找平衡的标志性事件。“毕竟对券商来说，再香的‘小龙虾’，也比不上合规安全。”

　　整体来看，证券行业对新型AI工具保持开放态度，支持投研、客服、运营等场景的效率提升，但坚持“安全先行、合规准入”的原则。面对快速迭代的AI产品，机构与从业人员均需建立风险意识，不盲目跟风、不私自部署，在确认安全可控、流程合规的前提下开展试用与研究。

　　但也以此次事件为契机，证券行业开始进一步明确AI工具使用的核心规则，比如敏感业务系统物理隔离，严禁AI接触客户隐私、交易数据、核心投研信息；严格执行最小权限原则，不授予超业务所需的系统权限；关键业务环节坚持人工终审，投资建议、交易执行、客户服务等必须人工把关；强化人机协同与全程风控，所有操作留痕、可追溯、可审计。

（文章来源：财联社）

(原标题：证券业集体暂停键，至少20家券商禁止公司网络“养虾”)

(责任编辑：10)