證券業(yè)集體暫停鍵，至少20家券商禁止公司網(wǎng)絡(luò)“養(yǎng)蝦”

財聯(lián)社3月11日訊（記者 林堅）前腳券商圈還在跟風(fēng)“養(yǎng)蝦”（Open Claw），后腳全行業(yè)直接按下緊急暫停鍵。

記者了解到，今天開始，券商密集下發(fā)關(guān)于“小龍蝦”的內(nèi)部合規(guī)提醒或相關(guān)通知，針對安裝、使用、接入作出明確限制，目前已有至少20家券商加入防控行列。行業(yè)人士預(yù)測，今明兩天會有更多券商發(fā)布相關(guān)合規(guī)提醒。有IT人士稱，“下午剛寫好提醒，今晚大概就會內(nèi)網(wǎng)發(fā)。”

禁止下載或是下載要報備均是硬要求。從覆蓋范圍看，此次防控并非個別機(jī)構(gòu)行為，而是行業(yè)性、趨勢性的統(tǒng)一動作，這直接源于中央網(wǎng)信辦、工信部的官方風(fēng)險通報。OpenClaw作為代理式AI代表，采用本地優(yōu)先架構(gòu)，被賦予文件讀寫、命令執(zhí)行、工具接管等高階權(quán)限，但安全設(shè)計存在明顯短板，被監(jiān)管明確列為高風(fēng)險應(yīng)用。

對證券行業(yè)而言，客戶信息、交易數(shù)據(jù)、投研成果均為核心敏感資產(chǎn)，任何終端漏洞都可能引發(fā)數(shù)據(jù)泄露、系統(tǒng)被入侵等嚴(yán)重后果。監(jiān)管預(yù)警一出來，各家券商立刻響應(yīng)，生怕慢一步踩雷。

禁止私裝、審批報備、卸載整改

券商圈的“養(yǎng)蝦熱”會一夜涼透嗎？并不見然。

總體來看，面對安全風(fēng)險，券商普遍采取“禁止為主、審批為輔、從嚴(yán)追責(zé)”的管控思路。絕大多數(shù)券商明確要求，員工未經(jīng)許可，嚴(yán)禁在公司辦公網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)及各類信息系統(tǒng)中安裝、部署、使用OpenClaw。禁令覆蓋公司配發(fā)電腦、筆記本、服務(wù)器、移動辦公設(shè)備，同時限制個人設(shè)備在接入公司網(wǎng)絡(luò)時運(yùn)行該工具，從網(wǎng)絡(luò)與終端兩個維度切斷風(fēng)險入口。

截至目前，行業(yè)內(nèi)形成兩種典型管控模式：

一是嚴(yán)格管控型。要求即日起全面暫停安裝與使用，已安裝員工須立即卸載，個人電腦接入公司網(wǎng)絡(luò)前完成自查清理，違規(guī)將依規(guī)追責(zé)；

二是流程審批型。確因研究、測試、業(yè)務(wù)需要使用的，須通過OA系統(tǒng)提交申請，經(jīng)部門負(fù)責(zé)人、合規(guī)條線、信息技術(shù)部門三方審核，同時報備部署理由、責(zé)任人、設(shè)備IP與MAC地址、公網(wǎng)接入情況等信息。經(jīng)審批通過的使用場景，必須落實(shí)網(wǎng)絡(luò)隔離、強(qiáng)制認(rèn)證、最小權(quán)限控制等加固措施，已私自部署的須補(bǔ)全審批流程。

多家券商在通知中明確，私自安裝使用、未按要求落實(shí)安全措施引發(fā)安全事件的，將依據(jù)公司制度追究相關(guān)人員責(zé)任。

并非全員發(fā)文

記者也注意到，在密集防控的同時，行業(yè)內(nèi)部也呈現(xiàn)明顯分化，部分券商未同步發(fā)布通知，這次 “禁蝦” 也暴露了券商數(shù)字化建設(shè)的差距。

一類機(jī)構(gòu)憑借早期信創(chuàng)建設(shè)與終端管控體系，已實(shí)現(xiàn)外部軟件源頭攔截，主要集中在頭部券商。這類券商辦公終端對外來軟件安裝設(shè)有白名單，未經(jīng)審核的程序無法下載安裝，同時具備實(shí)時監(jiān)控、自動攔截能力，無需額外發(fā)文即可實(shí)現(xiàn)風(fēng)險阻斷。

有券商從業(yè)者向記者展示了公司的軟件檢測裝置，一旦安裝，就會有提醒，并且關(guān)掉。“很顯然，這有效防范了外部設(shè)備的安裝。”

另一類機(jī)構(gòu)，主要以小券商為主，則因IT資源投入、系統(tǒng)迭代節(jié)奏等原因，未跟進(jìn)“養(yǎng)蝦”熱潮，員工使用滲透率低，短期內(nèi)未形成安全隱患，因此暫未啟動專項(xiàng)通知。有券商人士稱，“我們公司IT本來投入就少，‘小龍蝦’這種大家看看也就過去了。”

這種分化也反映出證券行業(yè)數(shù)字化建設(shè)的不均衡。頭部機(jī)構(gòu)與重視信息技術(shù)投入的券商，更早完成終端安全、網(wǎng)絡(luò)隔離、權(quán)限管控等基礎(chǔ)建設(shè)，面對新型AI工具風(fēng)險時響應(yīng)更從容；部分中小機(jī)構(gòu)仍依賴事后通知、人工自查等傳統(tǒng)方式，技術(shù)防控能力有待提升。

行業(yè)共同尋找AI工具邊界

在一位IT人士看來，OpenClaw引發(fā)的行業(yè)防控，并非對AI技術(shù)的否定，而是證券行業(yè)在技術(shù)創(chuàng)新與合規(guī)安全之間尋找平衡的標(biāo)志性事件。“畢竟對券商來說，再香的‘小龍蝦’，也比不上合規(guī)安全。”

整體來看，證券行業(yè)對新型AI工具保持開放態(tài)度，支持投研、客服、運(yùn)營等場景的效率提升，但堅持“安全先行、合規(guī)準(zhǔn)入”的原則。面對快速迭代的AI產(chǎn)品，機(jī)構(gòu)與從業(yè)人員均需建立風(fēng)險意識，不盲目跟風(fēng)、不私自部署，在確認(rèn)安全可控、流程合規(guī)的前提下開展試用與研究。

但也以此次事件為契機(jī)，證券行業(yè)開始進(jìn)一步明確AI工具使用的核心規(guī)則，比如敏感業(yè)務(wù)系統(tǒng)物理隔離，嚴(yán)禁AI接觸客戶隱私、交易數(shù)據(jù)、核心投研信息；嚴(yán)格執(zhí)行最小權(quán)限原則，不授予超業(yè)務(wù)所需的系統(tǒng)權(quán)限；關(guān)鍵業(yè)務(wù)環(huán)節(jié)堅持人工終審，投資建議、交易執(zhí)行、客戶服務(wù)等必須人工把關(guān)；強(qiáng)化人機(jī)協(xié)同與全程風(fēng)控，所有操作留痕、可追溯、可審計。