你的 AI Agent正在泄密,但 OpenClaw 刚堵上了这个漏洞

栗子KK
0 阅读9分钟

你的 AI Agent正在泄密,但 OpenClaw 刚堵上了这个漏洞

文 | 栗子KK | 公众号:数镜智心

你以为自己是在“装一个小工具”。 其实你是在给 AI Agent 装一段能动你数据、能替你下指令的代码。

更要命的是:这段代码通常不在你视线里。你看见的是“技能介绍页”,真正跑的是“技能包里的实现”。

所以当有人说——“你的 AI Agent 可能把你的密码发给了某个恶意技能,而你甚至不知道”,这不是吓唬人,这是 2026 年 agent 生态正在变成的现实。

2026 年 2 月,OpenClaw 宣布与 VirusTotal 集成。HN 上一波热议(高赞)给我的感觉很明确:大家不是在为某个 PR 叫好,而是在为一个共识投票——AI agent 进入现实世界之后,安全不能靠祈祷和免责声明了。

你的 AI Agent 刚刚把你的密码发给了某个恶意技能——而你甚至不知道

这不是危言耸听,而是 AI Agent 用户正在面对的真实风险。

好消息是:OpenClaw 让这件事变得更难发生了。

这次合作之所以能在技术社区刷屏,不是因为又出了一个新模型,也不是因为哪个大厂又收购了谁,而是因为它指向了一个更“个人”的问题:当 AI Agent 成为你数字生活的“超级用户”时,它的安全就是你的安全。

一、AI Agent 的安全困境:它不是传统软件那套玩法

过去二十年,我们的安全模型默认一件事:软件做什么,是代码“明确写死”的。

AI Agent 打破了这个假设。

它不再只是执行固定逻辑,而是解释自然语言、理解任务、再决定调用哪些工具、读哪些数据、执行哪些动作。边界一旦变模糊,攻击面就会跟着变大。

这就是为什么“技能(Skill)”会变成 agent 生态里最危险、也最容易被忽视的入口。

二、技能到底是什么?为什么它直接关系到你?

技能可以理解成:在你的 Agent 上下文里运行的代码。听起来中性,但它意味着技能可能天然拥有:

  • 访问你已连接的工具(邮箱、网盘、日历、工单系统等)
  • 读取你 agent 可见的数据(文件、对话、token、配置)
  • 以你的名义执行动作(发消息、写文档、拉取代码,甚至触发支付相关流程)

很多人会说:“我只装官方推荐的技能。” 但问题在于:恶意技能从来不会在简介里写‘我是恶意的’。

一个看起来“帮你整理发票/自动写周报”的技能,完全可能在背后做这些事:

  • 窃取敏感信息(cookie、token、API key)
  • 偷偷发外呼请求,把数据打包传出去
  • 以你的身份发消息、提工单、改配置
  • 下载并执行外部载荷(供应链攻击的经典套路,只是换了壳)

OpenClaw 官方博客也明确提到,他们已经看到“有记录的”尝试在利用 AI agent 平台的案例。翻译成人话就是:攻击不在未来,攻击就在路上。你可能不是第一个,但也不会想当下一个。

三、VirusTotal 集成:OpenClaw 到底做了什么“硬事”?

很多所谓“安全集成”,做法其实很轻:算个 hash,去 VirusTotal 查一下有没有记录。 没记录?那就当没问题。

OpenClaw 这次的思路更接近“把技能当作潜在可执行恶意包来处理”:打包、上报、分析、决策、重扫,做成一套默认闭环。

他们公开的是一个 7 步流程:

  1. 确定性打包:技能文件打成 ZIP,并包含 _meta.json 元数据
  2. Hash 计算:生成 SHA-256 指纹
  3. VirusTotal 查询:先查是否已有记录,避免重复分析
  4. 上传分析:无记录则通过 VirusTotal v3 API 上传完整技能包
  5. Code Insight:由 Gemini 驱动的 AI 代码审计/洞察
  6. 自动决策:benign 自动通过,suspicious 警告,malicious 阻止
  7. 每日重扫描:所有活跃技能每天重新检查

这意味着:你安装的每一个技能,不是“象征性查一下”,而是要过 70+ 引擎扫描 + AI 代码理解分析,而且不是一次性的。

一句话概括:这不是挂个安全徽章,这是把安全变成默认成本。

四、对比 Hugging Face:差距不在“有没有接 VT”,而在“接到哪一层”

把 OpenClaw 和 Hugging Face 放在一起看,会更清楚这次为什么值得讨论。差距不是谁更会写博客,而是扫描策略不同。

维度Hugging FaceOpenClaw
扫描方式Hash 查询完整上传 + AI 分析
分析深度签名匹配为主Code Insight 行为理解
扫描频率发布时一次发布时 + 每日重扫
结果透明度不一定提供细报告技能页展示结果

如果必须用一句话把差别说狠一点:

Hugging Face 用 hash 查询说“我没见过这个病毒”;OpenClaw 用 Code Insight 说“我看得懂这段代码想干什么”。

当然,AI 也会看走眼。但“看得懂”至少比“没见过”更接近我们在 agent 时代需要的安全方向。

五、Code Insight:它不是更聪明的杀毒库,而是多了一双“读代码的眼睛”

传统安全工具擅长签名匹配,它的致命弱点也在这里:只能抓住已知威胁

但 agent 生态里最麻烦的,偏偏是不那么“传统恶意”的东西,比如:

  • 利用自然语言指令绕过预期行为(你以为它在写报告,它在外呼数据)
  • Prompt Injection(不是病毒样本,但能诱导 agent 做错事)
  • 新型供应链污染(依赖被投毒、脚本动态拉取)

OpenClaw 强调的 Code Insight(Gemini 驱动)价值点在于:它会从文档、代码、结构整体理解技能行为,而不是只问“这玩意儿在库里有没有案底”。

官方的表述也很直白:他们上传完整技能包,让模型得到“完整行为图景”,而不是只做已知签名匹配。

具体会看什么?你可以把它当成一份自动化的“上线前代码审计前置筛查”:

  • 是否下载并执行外部代码
  • 是否访问敏感数据
  • 是否执行网络操作、可能的数据外传
  • 是否在提示词或文档里埋“胁迫 agent 的指令”

你当然还需要更深层的防线,但这一层至少能把最常见、最粗暴的恶意行为挡在门外。

六、诚实声明:这不是银弹,但这是你需要的第一层防护

安全产品最让我警惕的,永远是那种“从此一劳永逸”的口气。 OpenClaw 反而很克制,直接承认:这不是 silver bullet。

他们同时强调“防御纵深(defense in depth)”——这是一层,后面还会有更多层。

这点很关键,因为它把读者预期放对了:

它能保护什么?

  • 已知恶意软件(木马、窃取器、后门)
  • 典型行为模式(即使是新威胁,也可能被行为特征抓到)
  • 一部分供应链问题(被污染的依赖、可疑的动态拉取)
  • 更重要的是:释放“平台愿意为安全付成本”的信号

它挡不住什么?你仍然要警惕什么?

  • 纯自然语言层面的诱导与社会工程
  • 精心设计的 Prompt Injection
  • 权限设计本身就过大的产品架构(最小授权做不好,扫描也救不了)

换句话说:这不是终点,但这是一个像样的起点。

七、权威背书:不是“自己说自己安全”

安全圈有个潜规则:你自己说自己安全,没什么说服力。 OpenClaw 做对的一件事,是引入独立安全顾问参与。

文中提到的 Jamieson O'Reilly(Dvuln 创始人、Aether AI 联合创始人、CREST 咨询委员会成员)这种角色,至少意味着两点:

  1. 平台的安全不是“内部自嗨”
  2. 后续更可能出现可公开、可审计、可追责的流程

他们还提到将发布威胁模型、安全路线图、全库审计与正式安全报告流程(含 SLA),并在 trust.openclaw.ai 提供实时追踪。

这类“状态页 + 路线图”看似无聊,但在企业采购和合规语境里,往往比一句“我们很安全”更值钱。

八、为什么 HN 会给这么多赞?因为大家都被“agent 权限”吓过

HN 的点赞不是给营销文案的。 它更像是对一个共识的集体确认:AI agent 需要真正的安全流程。

agent 正在获得越来越多的能力:发邮件、转账、控制智能家居、访问文件系统、修改线上配置……当你的 agent 能做这些事时,“差不多安全”基本等价于“不安全”。

你不会把银行卡密码交给陌生人。 那你为什么愿意把一个“能代表你做数字世界几乎所有动作的代理”,交给一个未经检验的技能?

OpenClaw × VirusTotal 释放的信号很清晰:

AI agents that take real-world actions deserve real security processes. We’re building them.

九、这对你意味着什么?(用户 / 开发者 / 企业)

如果你是 AI Agent 用户

  • 你安装的技能会被 70+ 引擎扫描 + Code Insight 分析
  • 你可以查看每个技能的安全结果与报告
  • 你不用额外配置,安全默认开启

如果你是开发者

  • 技能发布时会自动进入审计流程
  • 用户能看到扫描结果,你的可信度更可展示
  • 也意味着:别再写“运行时 curl 一个脚本再执行”的小聪明了,很显眼 (以前靠 README 写得好看能混过去;现在得靠代码写得干净。)

如果你是企业决策者

  • 你得到的是更接近“可采购”的安全姿态:流程、顾问、状态页、路线图
  • 出问题至少能追溯、能复盘,而不是“我们也不知道它为什么发了那封邮件”
  • 后续威胁模型与正式报告流程,会直接影响你能不能把 agent 放进生产系统

结语:这不是功能更新,是 agent 生态开始补“安全债”

每日重扫描听起来很重,但它其实是在承认一个现实:今天干净的技能,明天可能因为依赖更新、构建污染、上游投毒而变脏。

OpenClaw 这次最有价值的点不是“接了 VirusTotal”。 而是把安全流程工程化,把“技能上线必须先过安全关”做成默认。

AI Agent 值得更严肃的安全标准。 至少这次,有人开始按这个标准做了。

The lobster grows stronger.

参考来源

  1. OpenClaw × VirusTotal Partnership 官方博客:openclaw.ai/blog/virust…
  2. VirusTotal Blog: From Automation to Infection:blog.virustotal.com/2026/02/fro…
  3. Hugging Face VirusTotal Integration:huggingface.co/blog/virust…
  4. trust.openclaw.ai 安全状态追踪:trust.openclaw.ai/
avatar
文章
阅读
粉丝