OpenClaw 与 VirusTotal 合作公告（简体中文）

我们今日宣布，与全球领先的威胁情报平台 VirusTotal 达成合作，将安全扫描能力引入 ClawHub——OpenClaw 的技能市场。

一句话总结

所有发布至 ClawHub 的技能，现已接入 VirusTotal 威胁情报扫描，包括其全新的 Code Insight（代码洞察） 能力，为 OpenClaw 社区增添一道安全防线。

一、为何此举至关重要

过去 20 年，安全模型始终围绕 “锁定设备与应用” 构建 —— 限制进程间通信边界、隔离互联网与本地、对不可信代码进行沙箱隔离。这些原则依然重要。

但 AI 智能体（AI Agent） 带来了根本性变革。

与传统软件严格按代码指令执行不同，AI 智能体可理解自然语言并自主决策行动，模糊了用户意图与机器执行的边界，甚至能被语言本身操控。

我们深知，OpenClaw 这类工具的强大效用，伴随巨大责任：

若安全失当，AI 智能体将成为安全隐患；
若安全得当，它能彻底重塑个人计算体验。

OpenClaw 技能功能强大，可拓展智能体能力 —— 从控制智能家居、管理财务到自动化工作流，但能力越强，风险越高。

技能是在智能体上下文内运行的代码，可访问你的工具与数据。恶意技能可能：

窃取敏感信息
执行未授权命令
冒充你发送消息
下载并运行外部恶意载荷

随着 OpenClaw 生态扩张，攻击面持续扩大。已有恶意行为者尝试利用 AI 智能体平台的记录，我们不会等问题恶化才行动。

二、扫描机制详解

技能发布至 ClawHub 时，将执行以下全流程检测：

确定性打包：技能文件被打包为 ZIP（固定压缩率与时间戳），附带含发布者信息、版本历史的 _meta.json
哈希计算：为整个技能包生成 SHA‑256 哈希，作为唯一数字指纹
VirusTotal 检索：用哈希比对 VirusTotal 数据库；若文件存在且有 Code Insight 结论，立即返回结果
上传与分析：无匹配记录或无 AI 分析时，通过 v3 API 将完整技能包上传至 VirusTotal 进行全新扫描
Code Insight 分析：由 Gemini 驱动的 LLM 版 Code Insight，对整个技能包做安全聚焦分析 —— 从 SKILL.md 到所有引用脚本与资源，不只看技能宣称的功能，更从安全视角总结代码实际行为：是否下载执行外部代码、访问敏感数据、执行网络操作，或嵌入可诱导智能体执行危险行为的指令
自动审核：获 “良性（benign）” 判定的技能自动通过；标记为 “可疑（suspicious）” 的技能自动标注警告；标记为 “恶意（malicious）” 的技能立即禁止下载
每日重扫：所有活跃技能每日重新扫描，检测此前安全的技能是否变为恶意

扫描结果会展示在每个技能页面与版本历史中，并附带完整 VirusTotal 报告的直接链接。

VirusTotal 已通过哈希检索保护 Hugging Face 生态；我们的集成更进一步 —— 上传完整技能包进行 Code Insight 分析，让 AI 全面掌握技能行为，而非仅匹配已知特征码。

三、这是什么，又不是什么

明确一点：这并非万能解药。

VirusTotal 扫描无法覆盖所有风险：用自然语言诱导智能体执行恶意操作的技能，不会触发病毒特征；精心构造的提示词注入（Prompt Injection） 载荷，也不会出现在威胁数据库中。

但它能提供：

已知恶意软件检测：木马、信息窃取器、后门、恶意载荷
行为分析：Code Insight 可识别新型威胁中的可疑模式
供应链可见性：捕获被污染的依赖项与嵌入的可执行文件
安全投入信号：我们正持续投入安全建设，这只是多层防御的第一层

安全是纵深防御。这是其中一层，更多防护即将推出。

四、更大的安全布局

此次合作是 OpenClaw 整体安全计划的一部分。未来几天，我们将发布：

OpenClaw 生态的全面威胁模型
追踪防御工程目标的公开安全路线图
覆盖全代码库的安全审计详情
含明确 SLA 的正式安全上报流程

可在 trust.openclaw.ai 跟踪进度并阅读完整安全计划概述。

我们已聘请 Jamieson O’Reilly（Dvuln 创始人、Aether AI 联合创始人、CREST 咨询委员会成员）担任首席安全顾问，指导该计划。

执行真实世界操作的 AI 智能体，理应拥有真实的安全流程。我们正在构建。

五、致技能发布者

若你向 ClawHub 发布技能，代码将自动扫描，流程如下：

技能发布后，VirusTotal 扫描异步运行
扫描返回 “良性” 判定 → 技能自动通过
标记为 “可疑” → 技能标注警告，但保持可下载以保障透明
标记为 “恶意” → 技能立即禁止下载
可在技能详情页查看扫描状态，并直接访问完整 VirusTotal 报告

初期可能出现一些误报 —— 安全工具并非完美。若技能被错误标记，请联系：security@openclaw.ai，我们将复核。

六、致用户

浏览 ClawHub 时，你会看到每个技能的扫描状态，这是判断可信度的又一依据。但请记住：

扫描干净 ≠ 技能绝对安全
始终审查技能请求的权限
优先使用可信发布者的技能
发现可疑行为，请报告至：security@openclaw.ai

七、致谢 VirusTotal

感谢 Bernardo Quintero 及 VirusTotal 团队的合作。他们的平台每日保护数百万用户，我们很自豪能将这份保护带给 OpenClaw 社区。

八、下一步

这只是开始，而非结束。我们致力于将 OpenClaw 打造成最安全的 AI 智能体平台，更多公告即将发布。

龙虾愈发强壮。🦞

安全相关问题：security@openclaw.ai

发布技能：clawhub.ai

加入讨论：Discord

—— Peter、Jamieson 与 Bernardo

------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。

1、本内容转载于网络，版权归原作者所有！ 2、本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。 3、本内容若侵犯到你的版权利益，请联系我们，会尽快给予删除处理！ 4、本站全资源仅供测试和学习，请勿用于非法操作，一切后果与本站无关。 5、如遇到充值付费环节课程或软件请马上删除退出涉及自身权益/利益需要投资的一律不要相信，访客发现请向客服举报。 6、本教程仅供揭秘请勿用于非法违规操作否则和作者官网无关

THE END