最近看到 OpenClaw 发布的一则消息:他们与 VirusTotal 达成合作,把安全扫描能力接入到了 ClawHub 技能市场。表面上看,这只是一次产品集成;但如果把背景换成 AI Agent,就会发现这件事的意义并不小。

这次合作到底做了什么?

OpenClaw 的做法很直接:以后发布到 ClawHub 的技能,会先进入一套安全检查流程,再决定是否允许分发。

按照原文介绍,核心流程大致是这样:

  • 平台先把技能打成可重复生成的 ZIP 包。
  • 然后计算该技能的 SHA-256 哈希。
  • 如果 VirusTotal 已经有这份样本的结果,就直接复用。
  • 如果没有,就通过 API 上传并触发新的扫描。
  • 扫描结果会影响技能的上架和下载状态。

除了传统威胁情报扫描,这次还加入了 VirusTotal 的 Code Insight 能力。它不只是看文件像不像恶意样本,还会从 SKILL.md 和相关脚本出发,分析这个技能“实际上准备做什么”。

为什么 AI Agent 技能市场更需要这类安全机制?

传统软件的风险,很多时候集中在安装包、依赖和运行权限上。但 AI Agent 技能的风险更复杂,因为它往往会进入一个更高权限、更高上下文的环境里执行。

一个技能如果被 Agent 调用,理论上可能具备这些能力:

  • 访问用户输入的敏感信息
  • 调用外部 API 或联网传输数据
  • 代表用户执行命令或操作工具
  • 诱导 Agent 采取不该执行的动作
  • 下载并执行额外载荷

这意味着,技能一旦带有恶意逻辑,造成的后果不只是“某个程序中毒”,而是可能进一步扩散到账号、数据、自动化流程,甚至用户的真实业务操作里。

从这个角度看,OpenClaw 把安全扫描放在技能发布入口,其实是在做一件很务实的事:先把最基础的一道门槛立起来,而不是等生态做大后再补洞。

平台会怎么处理扫描结果?

根据文章中的说明,扫描结果会被用于自动化处理:

  • benign 的技能可以自动通过
  • 可疑技能会被标记并给出警告
  • 恶意技能会被阻止下载
  • 已经处于活跃状态的技能,还会每天重新扫描一次

这个设计有两个值得注意的点。

第一,它不是一次性审核,而是持续扫描。
第二,它不是完全依赖人工判断,而是把安全信号直接接入分发流程。

这说明 OpenClaw 想解决的不是“发版前做一次检查”这么简单,而是试图把安全变成技能市场的基础设施。

这是不是就足够安全了?

显然还不够,OpenClaw 自己也明确承认了这一点。

VirusTotal 很强,但它并不是银弹。对于 AI Agent 生态里一些更偏“提示注入”“自然语言操控”“间接指令劫持”的风险,传统恶意样本扫描并不一定能完全识别。换句话说:

  • 它可以提供一层很有价值的安全信号
  • 但它不能替代权限控制、沙箱隔离和人工审查
  • “扫描通过”也不等于这个技能绝对安全

这点我觉得反而是好事。真正靠谱的安全建设,从来不是喊一句“我们已经解决了”,而是清楚知道每一层防线能防什么、不能防什么。

这件事真正重要的地方

我认为,这次合作最值得关注的,不是 OpenClaw 接了一个知名安全厂商,而是它释放出了一个很清晰的信号:

AI Agent 生态已经不能只拼“会不会做功能”,还必须正面回答“出了问题谁来拦”“恶意技能怎么识别”“供应链风险怎么处理”。

技能市场一旦开始繁荣,风险一定会跟着繁荣。
谁先把安全能力产品化、流程化、默认化,谁就更有可能在后面的生态竞争里站稳。

一句话总结

OpenClaw 与 VirusTotal 的合作,本质上是在给 AI Agent 技能市场加上一层基础安全防线。它解决不了所有问题,但它把“安全应该前置”这件事,真正落实到了技能发布和分发流程里。

原文链接