2026年2月,Claw生态遭遇史上最严重的安全事件:ClawHavoc。1184个恶意技能(Skill)潜伏在ClawHub平台,涵盖凭证窃取、反向shell、提示词注入等攻击手段,峰值感染率达12%,波及超30万用户。
社区反应很快——VirusTotal扫描、人工审计、紧急下架。但风波平息后,一个尴尬的问题悬在头顶:怎么判断一个技能是"好的",而不只是"没病毒"?
VirusTotal能告诉你代码是否包含已知恶意特征,但它不会告诉你代码结构是否混乱、权限是否越界、功能是否货不对板。"不恶意"和"真可信"之间的鸿沟,就是Trust Shield要填的坑。
ClawHub的信任真空:13,000个技能,零质量信号
ClawHub托管着超过13,000个公开技能。ClawHavoc之前,开发者安装技能前能参考的质量信号几乎为零:
• 下载量?刷量容易,不代表安全
• 作者名气?知名作者也会疏忽或被劫持
• 用户评分?恶意技能可以伪造好评
这些信号都没法回答开发者真正想问的:这段代码会不会做我意料之外的事?
Trust Shield的解决方案是V(g)安全扫描——一款基于抽象语法树(AST,Abstract Syntax Tree)的轻量级静态分析器。它读取技能源码,输出客观发现:无AI、无启发式判断、无主观意见,只有7条规则的模式匹配。
扫描器能捕获eval()、child_process.exec()、base64解码后执行链、未声明的网络调用、环境变量收割等模式。每条发现都标注文件、行号、代码片段——不是评判,只是事实。
徽章系统:把安全扫描变成可嵌入的社交货币
V(g)不是VirusTotal的替代品,也不是安全保证书。它是一个补充信号,填补"非已知病毒"到"足够可信可安装"之间的空白。
每个扫描过的技能会获得一枚徽章,由badge.rotifer.dev驱动——一个Cloudflare Worker,提供兼容shields.io的JSON端点。技能作者可以零配置嵌入README,徽章随代码变更自动更新。
对于Rotifer基因(Gene,不只是ClawHub技能),还有额外徽章可选:安全评分、代码质量、测试覆盖率、文档完整度。
这套设计的聪明之处在于把安全审计从"平台强制"变成"作者自愿展示"。徽章成了技术信誉的社交货币,好作者主动贴,心虚的作者躲着走。
从静态扫描到运行时验证:Trust Infrastructure的路线图
Trust Shield是Claw生态"信任基础设施"的第一层。当前扫描规则刻意保守——只报告客观模式,不做意图判断。但架构预留了进化空间:
• 现在(v0.7.9):静态AST扫描,二进制安全/不安全模式,徽章生成
• 下一步:质量指标。技能是否处理错误?是否清理资源?功能是否符合描述?
• 最终目标:将评估Rotifer基因的适应度函数F(g)——衡量实际运行时行为,而非仅代码模式——扩展至整个Claw技能生态
从"不是病毒"到"确实好用"的路很长。Trust Shield是第一步。
Claw团队把这次危机转化成了基础设施投资。1184个恶意技能逼出的不只是一次清理,而是一套可扩展的信任验证框架。对于每天要在AI agent生态里安装第三方代码的开发者来说,这种"先扫描再信任"的机制,可能比任何"官方认证"都更踏实。
你现在安装技能前,会先看它的安全徽章吗?
热门跟贴