最近,Silverfort 团队披露了一起针对 OpenClaw 生态系统的供应链攻击事件。攻击者利用 ClawHub 平台的漏洞,人为虚增恶意 Skill 的下载量,使其登顶搜索排名。短短六天内,这个伪装成「Outlook Graph Integration」的恶意 Skill 在全球 50 个城市被执行了 3900 次,悄然窃取用户名和域名信息。
这则新闻在技术圈引发了不少讨论。但比起漏洞本身,更值得关注的是一个容易被忽视的事实:受害用户并非缺乏安全意识,他们只是相信了「排名第一」这个社交证明。
1. 熟悉的剧本:90 年代的病毒与流氓软件
如果把时间拨回上世纪 90 年代末,PC 用户面临的是怎样的安全环境?
那时候,你从软件商店买回一张光盘,或者从网上下载一个「装机必备」软件,表面上一切正常,但背后可能已经埋下了病毒、木马,或者会在后台偷偷安装一整套「全家桶」。当时的用户普遍认为:「我只从正规渠道下载软件,应该没问题吧?」
事实证明,「正规渠道」不等于真正的安全。
软件商店的审核机制有限,病毒和流氓软件的变种层出不穷,用户即使小心翼翼,也难以完全规避风险。直到杀毒软件、防火墙、行为监控等安全工具成为标配,这场猫鼠游戏才逐渐走向可控。
今天,AI Agent 正在重走这条路。
2. 为什么「官方商店」也不再可靠?
ClawHub 漏洞事件揭示了一个令人不安的真相:即使是在官方平台上排名第一的 Skill,也可能是恶意的。
但更深层的问题在于,即便没有这类漏洞,官方商店的 Skill 本身也存在难以规避的风险:
-
来源可信,但内容不透明。 一个 Skill 可能来自知名开发者,但它的内部逻辑、调用范围、数据流向,用户几乎无法完整了解。它可能在完成主功能的同时,「安静地」完成一些额外任务:扫描本地文件、记录输入的信息、尝试非预期的对外连接。
-
更新不可控。 今天安全的 Skill,明天一次更新就可能引入新的风险。这种变化对用户而言是「静默」的,没有任何提醒。
-
依赖链风险。 一个 Skill 可能依赖其他组件或 API,这些依赖同样可能成为攻击入口。供应链攻击的精髓,正是攻击者不需要直接攻破你,只需要攻破你信任的某个环节。
所以,问题从来不是「你有没有从官方商店安装」,而是:你是否清楚知道,你安装的 Skill 究竟在做什么?
-
这个 Skill 从哪里来?是否经过验证?
-
它内部在执行什么?有没有超出预期的行为?
-
运行过程中,它访问了哪些数据?发往了哪里?
-
这些行为是否符合企业策略?是否需要干预?
如果这些问题无法回答,那么「安全」本身就成了一个悬而未决的命题。
3. Baidu-Skill-Guard:让每一次 Skill 安装和运行,都经得起「显微镜」下的审视
回到 90 年代的类比:用户之所以敢放心安装软件,是因为杀毒软件已经替他们做过扫描,不仅在安装时进行静态检查,更在程序运行中持续监控行为,实现全生命周期的动态防护。
同样的问题摆在今天 —— 用户想安装一个 Skill,谁来告诉他「这个安全吗?」
百度智能云提供的 Skill 安全解决方案 Baidu-Skill-Guard,能够完美解决您的担忧。这是专为 AI Agent 生态打造的技能供应链安全守卫,通过评估技能来源信誉、意图识别、危险行为与病毒挖掘等多重手段,彻底终结「技能黑盒」带来的裸奔风险。
安全工具如果使用门槛高,用户就会绕过它。而 Baidu-Skill-Guard 的部署方式足够简单,无需复杂配置,开箱即用。我们提供两种形态:
-
作为 Skill 内置: 安装到 OpenClaw 的 workspace 目录后,它会自动成为其他 Skill 安装前的「安检员」。用户通过对话下载安装 Skill 时,系统会先跑一遍安全检测,通过才放行。
-
作为 API 能力输出 面向应用市场平台,提供标准化的安全检测接口。Skill 上架前先过检,上架后定期复查,更新时重新评估 —— 把安全管控嵌入平台流程,而不是依赖用户自觉。
两种形态,均可快速接入百度全部安全防护能力,覆盖 Skill 供应链的上游和下游。
4. Baidu-Skill-Guard:从「简单拦截」到「知情决策」
传统的安全工具往往只给出「通过」或「拦截」的二元结论,但现实中的风险远非黑白分明。许多 Skill 处于灰色地带 —— 它们或许没有明确的恶意行为,但可能存在权限过度、代码模糊、来源可疑等风险。简单拦截会阻碍效率,而简单放行则会引入隐患。
这正是 Baidu-Skill-Guard 的独特价值所在:它不做「审判者」,而是做一名提供详尽情报的「安全顾问」。真正的安全决策权应交给用户或管理员。 因此,我们的系统不满足于简单的「是 / 否」判断,而是致力于将风险量化,让决策有据可依。
-
量化评分,而非二元结论: 系统整合多维度检测结果,包括来源、意图、行为、代码安全性等,直观反映风险等级。
-
分级处置,匹配风险等级:
- 高分进入白名单: 自动放行,确保效率。
- 中等分数进入灰名单: 清晰提示风险点,将选择权交还给用户进行人工确认。
- 低分进入黑名单: 强烈建议用户不要安装,并详细告知风险原因。
-
透明报告,杜绝「黑箱」操作: 每次检测都会生成一份详细的「安全体检报告」,不仅告知评分结果,更清晰地列出「为什么是这个分数」的原因 —— 详细展示各个维度的检测情况及具体风险项。
-
持续监控,覆盖手动安装、自动更新等盲区: 支持定时批量扫描和周期性复检,所有任务自动执行,报告自动生成,无需人工持续干预。
简单来说,当面对一个「灰色」的 Skill 时,Baidu-Skill-Guard 不会武断地替您做决定,而是为您提供全面的「体检数据」,赋能您做出最符合自身安全策略的「知情决策」。这正是我们区别于其他工具、解决复杂现实安全困境的核心优势。
我们的目标,是让安全防护像呼吸一样自然存在 —— 必不可少,却毫不费力。Baidu-Skill-Guard 正是这样一个旨在提供强大保护力,同时最大限度隐藏自身存在感的安全伙伴。
5. 从「能不能做」到「怎么做」—— AI Agent 时代的安全观念转变
最近发生的 ClawHub 漏洞事件不是偶然,它揭示了一个新的现实:在 AI Agent 时代,安全威胁已经来了,而且就藏在那些看似方便的技能里。
回看历史,每一次技术飞跃,安全的打法都得跟着变:
-
电脑时代: 坏人躲在程序里。我们装个杀毒软件,就像给电脑请个贴身保镖。
-
手机时代: 坏人藏在 App 里。我们用官方应用商店,就像只去有安检的商场购物,还要管好每个 App 的「手」,不让它乱动手机里的东西。
-
AI Agent 时代: 坏人可能就潜藏在某个刚刚下载的、最新的「技能」里。AI 的能耐不再由出厂设置决定,而是由它随时「学」的新技能决定。
所以,今天最大的安全问题,已经从「这个 AI 能不能干活?」,变成了「它正在用什么方法干活?它会不会偷偷干坏事?」
百度智能云的 Baidu-Skill-Guard 就是为这个新问题而生的,让所有 Skill 的使用情况都能被看见、被管理。这样一来,Skill 不再仅仅是「被信任」,而是始终运行在安全边界之内。它的核心是:
-
事前预防,而不是事后抓贼: 在您的 AI 助手安装一个新技能之前,Baidu-Skill-Guard 会先把它彻底「体检」一遍。相当于给每个新技能发「上岗证」前先做背景调查。
-
全程守护,而不是一次检查: 它对技能的看护不止于安装。技能更新了会重新体检,平时还会定期巡检,确保这个技能昨天安全,今天也没「变坏」。
-
让安全看得见,听得懂: 它不给您一大堆看不懂的代码警告,而是用「白名单、灰名单、黑名单」这种清晰的方式告诉您结果,并附上易懂的「体检报告」。
最终,我们要帮您实现的,是一种安心的状态:您既能让 AI 助手放手去使用各种强大的技能来提升效率,又完全不用担心它会因此失控或泄露秘密。效率和安全性不再是要选择题,而是可以兼得的「标准配置」。
