概览
OpenClaw 正式宣布与 VirusTotal 建立安全合作伙伴关系。即日起,ClawHub 技能市场上发布的所有 Skill 都将通过 VirusTotal 的 Code Insight 功能进行威胁情报分析,该功能由 Google Gemini 驱动。
为什么这很重要
AI 代理与传统软件有本质区别——它们解释自然语言并自主做出决策,这带来了新的安全挑战。OpenClaw 的 Skill 技能非常强大,可以控制智能设备、管理财务、自动化工作流程,但同时也可能被恶意利用。
恶意 Skill 可能会窃取数据、执行未授权命令、发送消息或下载外部恶意载荷。因此,建立可靠的安全扫描机制至关重要。
技术实现
整个扫描流程包括:
- 确定性打包:采用一致的压缩和元数据格式
- SHA-256 哈希计算:为每个 Skill 生成唯一指纹
- VirusTotal 数据库查询:匹配已知威胁
- 代码分析:使用 Code Insight 从安全角度审查实际代码行为
- 自动化响应:安全的 Skill 自动通过,可疑的会收到警告,恶意的会被即时封禁
- 每日重新扫描:对所有活跃 Skill 进行持续监控
对开发者和用户的影响
Skill 发布者:发布后将自动触发扫描,并可查看直链的 VirusTotal 报告。
用户:建议仔细审查 Skill 的权限请求和信任信号。需要注意的是,通过扫描并不等于绝对安全——自然语言操纵和提示注入攻击可能无法被检测。
更广泛的安全路线图
这只是安全防线的其中一层。OpenClaw 团队正在推进发布完整的威胁模型、公开安全路线图、安全审计详情以及正式的漏洞报告流程。安全顾问 Jamieson O'Reilly 已正式加入团队。