🤖 妙趣AI · AI新闻日报

OpenClaw和NVIDIA联手搞了个ClawScan流水线——每个发布的技能都要经过三道安检：VirusTotal查恶意软件、SkillSpector查Agent风险、静态分析查危险代码。67,453个技能扫完，发现一个惊人的事：三个扫描器的结果几乎不重叠，只有0.69%的技能被三个同时标记。

64种漏洞模式、16个检测类别——从Prompt注入到数据窃取，从权限升级到供应链攻击。SkillSpector用两阶段分析（快速静态扫描+LLM语义评估）来回答一个问题："这个技能装了安全吗？"研究显示26.1%的技能有漏洞，5.2%有恶意意图。

OpenClaw把ClawHub上所有公开技能的安全扫描结果做成了数据集，放到HuggingFace上开源。数据集涵盖VirusTotal、SkillSpector和静态分析三套扫描器的信号，每天烧掉数百万GPT-5.5 tokens来跑。安全社区可以拿这数据来训练更好的检测模型。

以前你教Agent做一件事，每次都得复制粘贴同样的说明。现在有了Skill Workshop，Agent可以把重复工作变成"技能提案"——先审后用，不是直接改行为。提案可以修订、对比、带附件（模板、脚本、示例），从聊天、CLI、UI都能操作。

从2月到5月的性能扫荡：冷启动从9.8秒降到1.9秒（5.1x）、发布包从43.3MB缩到17.9MB（-59%）、安装依赖从645个砍到300个（-53%）。秘诀？把重型插件依赖（Bedrock、Slack、WhatsApp等）移出核心路径。官方说："生长，看起来更像蜕皮，而不是堆叠。"

YOLO模式跳过审批直接执行，方便但危险。新的Auto模式走中间路线：匹配白名单的命令直接跑，不匹配的先让AI审查员看一眼，审查员拿不准的再问人。审查员可以用独立模型（比如GPT-5.5），和主Agent模型分开。审批还能推送到Slack、Telegram、iMessage。

三大安全基建：fs-safe防止文件系统越界（符号链接、绝对路径穿越）、Proxyline把网络出口流量路由到代理策略层（防SSRF）、SQLite重构运行时状态（告别松散文件）。特别提到了Agent场景下SSRF比普通Web服务更难搞——"帮我抓这个URL"是正常工作，但URL可能指向内网。

OpenClaw现在默认通过原生Codex app-server harness跑OpenAI的Agent turn，而不是绕路。这意味着OpenAI模型在OpenClaw里的执行路径和在Codex里一样——更稳定、更快、更安全。同时把经验带回到其他模型的集成中。

2026.4.24和2026.4.29两个版本出了问题。OpenClaw没有藏着掖着，直接写了篇复盘：方向是对的，但执行出了偏差，以及他们现在在改什么。在AI圈子里，愿意公开承认"我们搞砸了"的团队不多。

一篇关于OpenClaw安全演进的深度文章——作为世界上最受关注的开源个人AI Agent，背后那些你看不见的安全工作。从VirusTotal合作到SkillSpector集成，从fs-safe到Proxyline，每一步都在公开中迭代。