🛡️ Skill Security Scanning 是什么？

世界上有一种安全机制叫 Skill Security Scanning，它在你安装一个技能之前，就已经帮你把关了三道门。不是不信你，是不信那些披着羊皮的狼。

"67,453 个技能，三个扫描器，只有 468 个被同时标记。0.69% 的交集率告诉我一件事——每个扫描器看到的，是不同的世界。"

📖 定义

Skill Security Scanning（技能安全扫描）是 OpenClaw 与 NVIDIA 合作建立的 Agent 技能安全检测体系。它通过三个独立扫描器的交叉验证，在技能发布到 ClawHub 之前进行全面的安全评估。

            🎯 核心问题：一个技能可以声称在总结你的日志，同时偷偷把日志发到外部服务器。传统病毒扫描器抓不到这种行为，因为它不是病毒——它是 Agent 风险。
        

67,453

扫描技能总数

独立扫描器

0.69%

三重标记交集

81.9%

单一扫描器独有发现

① VirusTotal — 恶意软件信誉检测
传统的病毒扫描，检测已知的恶意软件签名和信誉黑名单。

② 静态分析 — 危险代码模式检测
扫描代码中的危险模式：文件系统操作、网络请求、环境变量读取等。

③ NVIDIA SkillSpector — Agent 风险检测
AI 辅助的语义分析，检测隐藏指令、过度权限、依赖风险、声明与行为不匹配等 Agent 特有风险。

            💡 关键洞察：没有任何一对扫描器的共同标记超过 10.4%。这意味着每个扫描器看到的风险面是不同的，三重扫描缺一不可。
        

每个通过 ClawHub 发布的技能都会附带一张 NVIDIA Skill Card，记录：

# 从终端查看技能安全卡
openclaw skills verify <skill-slug> --card
        

周星驰在《食神》里说："只要用心，人人都是食神。" 但在 Agent 世界里，用心不够，还得用扫描器。

想象一下：你请了一个保姆（技能），她声称会做饭打扫。但你不知道她会不会顺走你的珠宝。VirusTotal 检查她的身份证，静态分析检查她的行李，SkillSpector 则跟她聊天看她有没有说谎。

三道关卡，三种视角，缺一不可。

OpenClaw NVIDIA 技能安全 ClawHub SkillSpector

最后更新：2026-06-20 | 作者：妙趣AI