← 返回博客

OpenClaw 与 VirusTotal 达成合作,保障技能安全。

OpenClaw Partners with VirusTotal for Skill Security
Peter Steinberger
彼得·斯坦伯格 @steipete
Jamieson O'Reilly
杰米森·奥赖利 @theonejvo
Bernardo Quintero
贝尔纳多·昆特罗 @bquintero
2026年2月7日 · 6 min read

今天,我们宣布与全球领先的威胁情报平台 VirusTotal 建立合作伙伴关系,旨在为 ClawHub——即 OpenClaw 的技能市场——引入安全扫描功能。

简而言之:所有发布到 ClawHub 的技能现在都将利用 VirusTotal 的威胁情报进行扫描,其中包括其全新的“代码洞察”(Code Insight)能力。这为 OpenClaw 社区提供了额外的一层安全保障。

为何这至关重要

在过去 20 年里,安全模型的构建主要围绕着对设备和应用程序进行“锁定”——即在进程间通信中设定边界、将互联网环境与本地环境相隔离,以及对不受信任的代码进行沙盒化处理。这些原则至今依然具有重要意义。

然而,AI 代理(AI agents)的出现标志着一种根本性的转变。

与那些严格按照代码指令行事的传统软件不同,AI 代理能够解析自然语言,并基于此对后续动作做出决策。它们模糊了用户意图与机器执行之间的界限,甚至可以通过语言本身来对其进行操控。

我们深知,像 OpenClaw 这样极具实用价值的工具,其背后也蕴含着重大的责任。若处理不当,AI 代理将成为一种安全隐患;若运用得当,我们则有望彻底改善个人计算的体验与格局。

OpenClaw 的各项技能功能强大。它们极大地拓展了 AI 代理的能力边界——从操控智能家居设备、管理个人财务,到实现工作流自动化,无所不包。然而,伴随着这种强大能力而来的,往往也是潜在的风险。

所谓“技能”,本质上是一段运行在代理(Agent)运行环境中的代码,它拥有访问您的各类工具及个人数据的权限。一旦遭遇恶意技能,可能会引发以下后果:

  • 窃取并外泄敏感信息
  • 执行未经授权的系统指令
  • 冒用您的身份发送消息
  • 下载并运行外部恶意载荷

随着 OpenClaw 生态系统的不断壮大,其所面临的潜在攻击面(Attack Surface)也随之扩大。

我们已经见到了 有据可查的案例,显示恶意行为者正试图利用 AI 代理平台。我们不会坐视不理,任由这一问题进一步恶化。

工作原理

当一个技能发布到 ClawHub 时,将经历以下流程:

  1. 确定性打包 — 技能文件会被打包成一个 ZIP 归档,其压缩方式和时间戳保持一致;同时附带一个 _meta.json 文件,其中包含发布者信息和版本历史记录。
  2. 哈希计算 — 系统会对整个归档包计算一个 SHA-256 哈希值,从而生成一个唯一的“指纹”。
  3. VirusTotal 查询 — 系统会将该哈希值与 VirusTotal 的数据库进行比对查询。如果数据库中已存在该文件且附带了“代码洞察”(Code Insight)分析结果,则会立即返回查询结果。
  4. 上传与分析 — 如果未查询到结果(或尚无 AI 分析数据),系统会将该归档包通过 VirusTotal 的 v3 API 上传,以便进行全新的扫描分析。
  5. 代码洞察(Code Insight) — VirusTotal 基于大语言模型(LLM)驱动的“代码洞察”功能(由 Gemini 提供支持),会对整个技能包进行以安全性为核心的深度分析。分析始于 SKILL.md 文件,并涵盖其中引用的所有脚本或资源。它不仅仅是审视该技能“声称”具备的功能,而是从安全视角出发,归纳总结出代码的“实际”行为:例如是否会下载并执行外部代码、是否会访问敏感数据、是否会执行网络操作,或者是否嵌入了可能诱导代理(Agent)执行不安全行为的指令。
  6. 自动审批 — 凡经“代码洞察”判定为“良性”(Benign)的技能,均会自动获得审批通过。任何被标记为“可疑”(Suspicious)的技能,均会自动附带警告提示。而被标记为“恶意”(Malicious)的技能,则会被立即禁止下载。
  7. 每日重扫 — 所有处于活跃状态的技能均会进行每日重扫,以检测此前被判定为“洁净”的技能是否在后续演变为恶意技能。

扫描结果将展示在每一个技能详情页面及版本历史记录中,并提供直达 VirusTotal 完整分析报告的链接。

VirusTotal 目前也正通过基于哈希值的查询比对技术及其威胁情报数据库,为 Hugging Face 生态系统提供安全防护。

我们的集成方案更进一步——我们会上传 完整的技能包供 Code Insight 进行分析,从而赋予 AI 对该技能行为的全面认知, 而不仅仅是进行已知的特征码匹配。

它是什么——以及它不是什么

让我们明确一点:这并非万灵药。

VirusTotal 扫描无法捕捉到所有威胁。如果某项技能利用自然语言指令来驱使代理执行恶意操作,它将不会触发任何病毒特征码。精心构造的“提示注入”(Prompt Injection)攻击载荷也不会出现在威胁数据库中。

这项方案能够提供的是:

  • 已知恶意软件的检测 —— 包括木马、信息窃取程序、后门及恶意载荷
  • 行为分析 —— Code Insight 能够识别出可疑的行为模式,即便面对的是新型威胁
  • 供应链可见性 —— 能够捕获受损的依赖项及内嵌的可执行文件
  • 一种意图的信号 —— 我们正持续投入于安全防护,而这仅仅是我们多层安全体系中的第一环

安全是一项纵深防御体系。这仅仅是其中的一层,更多层级即将推出。

宏观全景

此次合作是 OpenClaw 更广泛的安全计划的一部分。在接下来的日子里,我们将陆续发布:

  • 针对 OpenClaw 生态系统的全面威胁模型
  • 追踪防御工程目标的公开安全路线图
  • 涵盖整个代码库的安全审计详细报告
  • 包含明确服务水平协议(SLA)的正式安全报告流程

如需追踪最新进展并阅读完整的安全计划概览,请访问 trust.openclaw.ai

我们已聘请 Jamieson O’Reilly(Dvuln 创始人、Aether AI 联合创始人、CREST 咨询委员会成员)担任首席安全顾问,负责指导该计划的实施。

能够执行现实世界操作的 AI 代理,理应享有真正严谨的安全保障流程。而我们正在着手构建这些流程。

致技能发布者

如果您在 ClawHub 上发布技能,您的代码现在将接受自动扫描。具体流程如下:

  1. 您的技能发布后,VT(VirusTotal)扫描将异步运行。
  2. 如果扫描结果判定为“良性”(Benign),您的技能将自动获得批准。
  3. 如果被标记为可疑,您的技能将显示警告提示,但为了保持透明度,该技能仍将保持可用状态。
  4. 如果被标记为恶意,您的技能将立即被禁止下载。
  5. 您可以在技能详情页面上查看扫描状态,并可通过直接链接查阅完整的 VirusTotal 报告。

我们预计在初期可能会出现一些误报情况——毕竟,安全工具并非尽善尽美。

如果您的技能被错误地 标记,请通过 security@openclaw.ai 联系我们,我们将对其进行复核。

致用户

在浏览 ClawHub 时,您会看到每个技能的扫描状态。这为您在决定信任哪个技能时,提供了又一个参考依据。但请记住:

  • 扫描结果显示“无异常”并不意味着该技能绝对安全
  • 务必仔细审查每个技能请求的权限
  • 优先选用您所信任的发布者提供的技能
  • 如有发现可疑行为,请向 security@openclaw.ai 举报

致谢 VirusTotal

我们要特别感谢 Bernardo Quintero 及其 VirusTotal 团队的通力合作。他们的平台每天都在守护着数百万用户的安全,而我们也很荣幸能将这份安全保障带给 OpenClaw 社区。

后续展望

这仅仅是一个开端,而非终点。我们致力于将 OpenClaw 打造成目前市面上最安全的 AI 代理平台。敬请期待我们即将发布的更多公告。

龙虾正变得愈发强壮。 🦞

有关于安全方面的问题?请联系 security@openclaw.ai

发布技能:clawhub.ai

参与讨论:Discord

—— Peter、Jamieson 与 Bernardo