此次合作，使 OpenClaw 成为了业内首个实现对所有技能进行自动化安全扫描的 AI 智能体平台，为保护这一新兴计算范式树立了行业标杆。

OpenClaw 近日宣布与谷歌旗下的威胁情报平台 VirusTotal 达成合作，将为在其 ClawHub 市场上发布的所有技能实施全面的自动化安全检测与扫描。这一深度整合是新兴 AI 智能体生态系统首次推出的综合安全举措。

自动化安全扫描流程

所有提交至 ClawHub 的技能，都将通过 VirusTotal 的全球威胁情报数据库以及其基于大语言模型的代码深度洞察功能进行自动化扫描。被标记为恶意的技能会立即被禁止下载；对于那些存在可疑内容的技能，平台则会为其添加明确的警告标签。

本次合作专门针对 AI 智能体所特有的安全挑战。与传统软件执行预定代码路径不同，AI 智能体能解析自然语言指令并自主决策行动，这为攻击者利用语言本身操控智能体行为创造了新的攻击面。

“我们的团队已经发现了攻击者试图利用 AI 智能体平台的实际案例，”OpenClaw 团队在公告中明确表态，“我们绝不会坐视安全问题蔓延。”

八步安全检测机制

安全风险与应对措施

能够扩展智能体功能的技能，可访问用户工具与数据，存在重大的安全隐患。一旦恶意技能入侵，可能导致敏感信息外泄、执行未授权命令或下载恶意负载。

当开发者提交技能时，平台会自动将代码打包为标准格式并计算其 SHA-256 哈希值。若该哈希值在系统中没有现有的扫描记录，则会上传完整的技能代码包进行深度扫描。VirusTotal 基于 Gemini 驱动的代码洞察功能会分析代码的实际潜在行为，而不仅仅是依赖静态特征匹配。

系统的评估内容包括：潜在的恶意外部代码下载、敏感数据访问、网络操作执行或可能诱导危险行为的指令。平台内所有活跃技能均会进行每日重新扫描，以确保安全状态的持续有效。

行业领先的安全实践

此方案超越了 Hugging Face 等平台现有的、基于哈希比对的 VirusTotal 基础集成，实现了对整个技能代码包行为模式的全面动态分析。与此同时，OpenClaw 同步启动了全面的安全计划，将陆续发布 AI 智能体生态系统威胁模型、安全路线图、代码库审计报告以及包含 SLA 承诺的安全事件响应流程。

平台已聘请 Dvuln 创始人、CREST 顾问委员会成员担任其首席安全顾问，相关安全文档详可见其官方网站。

OpenClaw 强调，自动化扫描仅是多重防御体系中的一环。经过精心设计的提示词注入攻击或自然语言操控手段，仍有可能绕过传统的特征检测。“安全之道在于纵深防御，”公告明确指出，“自动扫描只是我们构建的第一道防护层。”

开发者在发布新技能时将自动触发安全扫描，用户可通过技能详情页面查看扫描结果。平台同时设立了专门邮箱用于处理误报申诉与安全反馈。虽然用户可以查看到每个技能的安全扫描状态，但 OpenClaw 也提示用户，扫描通过并不等同于绝对安全，建议用户审查技能权限要求、选择可信的发布者，并及时举报异常行为。

通过此次与 VirusTotal 的战略合作，OpenClaw 确立了其作为首个实现全面自动化安全扫描的 AI 智能体平台的行业领先地位，为整个行业保护这一新兴的计算范式树立了全新的安全标准。