.png)
原文: OpenClaw Collaborates with NVIDIA for Stronger Agent Skill Security
作者: Vincent Koc(首席架构师)& Patrick Erichsen(OpenClaw 基金会)
发布日期: 2026 年 6 月 1 日
一、Agent 技能安全:一道硬坎
Agent 技能文件(skill)的安全名声一直不好——而且这名声不是白来的。当 ClawHub(OpenClaw 的技能市场)一上线,立即被攻击者盯上了:有人试图发布捆绑了已知恶意软件(malware)的技能包。
OpenClaw 第一时间与 VirusTotal 合作,自动标记这些恶意技能并封禁发布者。
但传统恶意软件扫描相对成熟了,识别 agentic risk(智能体风险) 是另一回事:
一个技能可以声称"帮你汇总日志",背后却绑了个把你机器数据往外传的脚本。一个好意的技能可能让你的 agent 去跑一个 CLI,但传错参数就把生产环境干掉了。这两者在传统意义上都不是恶意软件,病毒扫描器也不是为抓这些而设计的。
所以,安装一个技能之前,你需要真正知道三件事:
它声称要做什么
它附带的代码是否真的匹配这个声称
如果出事了,爆炸半径有多大
在生态系统尺度上回答这些问题,正是 ClawHub 的核心使命。
二、ClawScan 流水线:三层扫描 + LLM 裁决
OpenClaw 最初的尝试是用一个 Codex agent 来查找 OWASP Agentic Risks Top 10。它确实有效,也抓到过真正的恶意行为者。但它是闭源的,而 agentic-risk 问题太新、变化太快,任何一个注册中心单靠自己是防不过来的。
所以 OpenClaw 选择与 NVIDIA 合作,将其可信 Agent 技能计划开放化。每个发布到 ClawHub 的技能都要经过一套多层流水线:
当新版本技能发布时,一个 OpenAI Codex agent 拿到三个独立扫描器的输出作为上下文。ClawScan(也就是评估环节)综合考察所有证据,生成一张 Skill Card 加上最终判决。
三、NVIDIA 的两大贡献:Skill Cards & SkillSpector
这次合作带来了两个重要新工具:
3.1 NVIDIA Skill Cards — 技能的"身份证"
每张卡片告诉你:
谁发布的
它能做什么
ClawScan 发现了什么
它到底从哪来的
这些全部由 ClawHub 验证,而非发布者自述。终端查看方式:
openclaw skills verify <slug> --card
3.2 NVIDIA SkillSpector — Agent 专属风险扫描器
它结合 静态检查 + AI 辅助语义分析,标记传统恶意软件扫描器漏掉的风险:
隐藏指令(hidden instructions)
危险代码路径(risky code paths)
过宽的能力范围(overbroad capabilities)
依赖问题(dependency issues)
技能声称目的与实际行为的不匹配
在 ClawHub 中,SkillSpector 的发现作为咨询建议展示,不会自动封禁技能。ClawScan 会综合评估所有证据再做最终判决。
四、惊人发现:三个扫描器几乎不重叠
最令人惊讶的发现是——三个扫描器的结果几乎不重叠。
没有任何一对扫描器的一致性超过 10.4%
仅 468 个技能(0.69%) 被三个扫描器同时标记
81.9% 的阳性发现来自单一扫描器
整体数据(涵盖 67,453 个技能版本):
在 ClawScan 判为 Suspicious 的 25,504 个技能中:
SkillSpector 阳性:19,209(75.3%)
在 Malicious 的 206 个技能中:
VirusTotal 阳性:150(72.8%)
SkillSpector 阳性:14(6.8%)
📌 关键结论
每个扫描器覆盖的风险面不同:
VirusTotal → 擅长恶意软件
静态分析 → 擅长危险代码模式
SkillSpector → 擅长 Agentic Risk
这也证明了 LLM-as-Judge(ClawScan) 的必要性——靠单一扫描器远远不够。
五、开源数据集:让整个社区更安全
OpenClaw 今天在 Hugging Face 上公开了所有 ClawHub 安全扫描结果数据集:
覆盖 67,453 个最新公开技能版本
每天用 OpenAI GPT-5.5 耗费数百万 token 持续扫描
数据包括:VirusTotal 结果、静态分析结果、SkillSpector 结果、ClawScan 综合判决
六、这对用户意味着什么?
OpenClaw 与 NVIDIA 合作,为 ClawHub 建立了一套多层安全扫描体系:
核心要点
对用户的影响
安装技能更安全了 — ClawHub 上的技能都经过这套扫描,恶意技能被拦截
可以查 Skill Card —
openclaw skills verify <slug> --card查看技能的安全评分和来源新的风险认知 — 一个技能没有恶意软件不代表没有 Agentic Risk
💭 延伸思考
这篇文章揭示了一个关键问题:传统安全手段在 AI Agent 时代是不够的。
VirusTotal 只能抓已知恶意软件,静态分析只能抓已知的危险模式。但 Agent 技能最大的风险是——它可以让 AI 替你做危险的事,哪怕代码本身看起来人畜无害。这就像给了一个人一把螺丝刀,但螺丝刀的外包装上写的是一本小说——你根本无法通过看包装知道里面是什么。
NVIDIA 的 SkillSpector 加上 OpenClaw 的 ClawScan,相当于给技能安全加上了一层行为语义分析——不是看代码有没有毒,而是看这个技能到底想干什么、能干什么。