为什么说 AiPy 是最安全的 OpenClaw 平替?这两个事件说明一切

Ekehlaft
0 阅读5分钟

最近 AI 圈发生了两件大事,让我彻底明白了:选择一个安全的 AI 智能体,比什么都重要。

第一件事:知道创宇发布 TrustTools 平台,公开了一个惊人数据:过去几周,他们在 3.5 万多个公开 Skills 中发现了 1200 多个恶意 Skills,其中 OpenClaw 的 ClawHub 市场就有 1184 个恶意技能,影响了超过 13.5 万台设备。

第二件事:npm 生态核心依赖 Axios 被投毒,恶意版本自动下载远控木马,直接影响了 OpenClaw(俗称"小龙虾")用户。那些在 3 月 31 日 8:00-12:00 期间手动安装 OpenClaw 的用户,很可能被动感染了木马。

这两件事放在一起看,我只有一个结论:AiPy 才是真正安全的国产龙虾,是 OpenClaw 的最佳平替。

第一件事:3.5 万个 Skills 里,有 1200 多个恶意版本

最近知道创宇发布的 TrustTools 平台,数据更吓人。

他们分析了 3.5 万多个公开 Skills,发现 1200 多个恶意版本,攻击类型分布:

  • 执行层攻击(远程代码执行、命令注入):31%
  • 数据层攻击(敏感信息外传、凭据泄露):63%
  • 供应链攻击(恶意投毒、混淆载荷):6%

OpenClaw 的 ClawHub 市场更惨:1184 个恶意技能,一个攻击者就上传了 677 个软件包,排名第一的技能有 9 个漏洞,下载量数千次。

这些恶意技能会:

  • 窃取 SSH 密钥、加密钱包、浏览器密码
  • 打开反向 shell
  • 读取记忆文件
  • 泄露 API Key

想想都后怕。

第二件事:当供应链攻击来袭,谁能保护你?

Axios 被投毒,整个开发者圈都慌了。这个年下载量超 36 亿次的核心组件,居然被植入远控木马。

更可怕的是,那些手动安装 OpenClaw 的用户,因为直接从 npm 拉取依赖,很大概率被感染了。你想啊,一个拥有系统级操作权限的 AI 框架,一旦中了木马,数据隐私全曝光。

但就在当天,我知道创宇的 404 实验室干了件很牛的事:火速推出了 Axios 供应链投毒检测技能,完全开源,上架 AiPy Pro 集市。

我作为 AiPy Pro 用户,操作简单得要命:

1.打开 AiPy Pro 技能集市,搜索“Axios 供应链投毒检测”

​编辑

2.点击安装

3.发条指令:"对整个电脑进行 axios 病毒检查,并生成排查 HTML 报告"

几分钟后,报告出来——我的环境安全。

​编辑

​编辑

这就是差距:一边是用户自己担惊受怕,一边是平台主动提供检测工具。 而且官方明确说明:从 AiPy Pro 集市中安装的 OpenClaw,完全不受影响。

为什么?因为 AiPy 的技能集市有严格审核,不会让污染的依赖流进来。

而且,该项目已上传至GitHub,开源地址:

github.com/knownsec/se…

TrustTools:知道创宇的安全答案

面对这种局面,知道创宇(AiPy 的开发方)干了件大事:推出 TrustTools 平台(trusttools.seebug.ai)。./ "trusttools.seebug.ai)。")****

这平台有三个核心能力:

1. 可信 Skills 库

经过多维度检测的 Skills 收录体系,每个 Skills 都有:

  • 安全评分
  • 权限清单
  • 行为摘要
  • 持续监控更新

2. 在线安全检测

不只是扫描代码,更模拟 AI 调用时的真实执行链,能自动标记 多类核心风险

  • 远程代码执行
  • 命令注入
  • 权限提升
  • 敏感信息外传
  • 用户凭据泄露......

3. 持续性安全检测

Skills 更新自动重新检测,社区快速响应机制,威胁情报实时同步。

他们还提供了命令行工具:

npx trusttools find {Skill名称}  # 安全查找下载
npx trusttools add {Skill名称}   # 添加 Skills
npx trusttools list              # 列出已安装 Skills

为什么 AiPy 才是真正的安全选择?

结合这两件事,我总结出三个关键点:

1. 平台审核 vs 用户自查

  • OpenClaw:用户自己从 GitHub、npm 拉取,风险自己担
  • AiPy:技能集市严格审核,拒绝污染依赖

2. 主动防御 vs 被动挨打

  • 事件发生后,知道创宇几小时内推出检测工具
  • AiPy 用户一句话就能全盘扫描
  • 而 OpenClaw 用户还得自己找工具、查文档、折腾排查

3. 安全基因 vs 后期补丁

  • AiPy 背后是知道创宇,十几年网络安全经验
  • 从设计就考虑安全机制:技能集市审核、安全检查工具、TrustTools 平台
  • 这是刻在 DNA 里的安全意识,不是出了问题再打补丁

给"养虾人"的三个建议

如果你现在还在用 OpenClaw,或者正准备入坑,我建议你:

1. 立即安全检测

  • 如果最近安装了 OpenClaw,马上用知道创宇的检测技能扫一遍
  • 访问 trusttools.seebug.ai 用在线扫描器检查你的 Skills

2. 优先选择 AiPy 安装

  • 这次 Axios 事件已经证明:通过 AiPy 安装的 OpenClaw 更安全
  • 有审核、有检查、有验证,比自己折腾靠谱

3. 考虑直接换 AiPy

  • 既然都要用 AI 智能体,为什么不直接用更安全、更成熟的?
  • AiPy 还自带安全检查技能,能帮你检查 OpenClaw 的安全性

所以,如果你也在找 OpenClaw 的国产平替,想找一个更安全的"国产龙虾",我的建议很直接:

别找了,直接用 AiPy。

官网下载:www.aipyaipy.com

记得填写我的邀请码 KHZw ,获得200w tokens

avatar
文章
阅读
粉丝