摘要:2026 年 2 月 OpenClaw 與威脅情報平台 VirusTotal 建立合作,為 ClawHub 技能市場引入安全掃描。當技能發布時會計算 SHA-256 雜湊、查詢 VirusTotal 資料庫、並透過 Code Insight 以 LLM 分析程式碼行為,惡意技能自動阻擋、可疑技能標示警告。本文解析掃描流程、安全威脅與使用建議。
為什麼需要技能安全?
OpenClaw 的 Skills 可讓 AI 助理擴充能力,例如接 Gmail、Calendar、Todoist,或自訂工作流程。ClawHub 是社群技能市場,用戶可下載他人分享的技能。但 2026 年初研究發現,ClawHub 上出現數百個惡意技能,有的會竊取檔案、有的會執行任意指令、有的會竊取 API 金鑰。OpenClaw 團隊因此與 VirusTotal 合作,為 ClawHub 技能引入多層安全檢查。
VirusTotal 是 Google 旗下的威脅情報平台,匯集全球防毒引擎與安全研究機構的惡意樣本資料庫。若技能包被已知惡意軟體標記,可立即阻擋。此外,OpenClaw 還使用 Code Insight(以 Gemini 等 LLM 分析程式碼行為),不只檢查技能「宣稱」做什麼,更能分析實際程式碼行為,揪出隱藏惡意邏輯。
掃描流程解析
當開發者將技能發布到 ClawHub 時,系統會執行以下流程:
- 雜湊計算:計算整個技能包的 SHA-256 雜湊值。
- VirusTotal 查詢:檢查雜湊是否在 VirusTotal 惡意樣本資料庫中。
- Code Insight 分析:使用 LLM 分析程式碼,檢查實際行為與宣稱功能是否一致。
- 自動處理:良性技能自動批准、可疑技能標示警告、惡意技能立即阻擋。
- 日常重掃:所有活躍技能每日重新掃描,防止先前安全的技能被污染。
安全威脅規模
OpenClaw 官方與第三方研究顯示,ClawHub 上曾出現數百個惡意技能。VirusTotal 檢測到「數百個」主動惡意 OpenClaw 技能;另有研究發現 341 個惡意技能(其中 335 個來自單一帳戶);Snyk 掃描近 4000 個技能,發現 283 個存在嚴重安全缺陷。這些惡意技能可能竊取檔案、執行任意指令、讀取環境變數或竊取 API 金鑰,對用戶隱私與系統安全構成威脅。
OpenClaw 官方坦承,VirusTotal 與 Code Insight 並非「萬靈丹」,無法完全消除風險,尤其是對隱蔽的提示注入攻擊。但多層安全檢查已能大幅降低惡意技能上架機率,並為用戶提供額外保障。
使用建議
即使 ClawHub 有安全掃描,建議仍採取以下措施:
- 優先安裝官方或社群認證的技能。
- 安裝前檢查技能描述、評分與下載次數。
- 若技能要求過多權限(如完整檔案系統存取),需審慎評估。
- 定期更新 OpenClaw,以取得最新安全修補。
穩定連線與 API 安全
OpenClaw 呼叫 Claude、GPT 等 API 時需要穩定連線,延遲過高會影響回應速度。若 API 金鑰透過不安全的網路傳輸,也可能增加風險。建議使用具加密與穩定連線的網路環境,保護你的 API 金鑰與對話內容。
推薦搭配 GreenVPN 保護 API 連線
GreenVPN 提供 1000Mbps 千兆直連頻寬,覆蓋全球 70+ 國家地區,穩定運行十年。無論是 OpenClaw 呼叫 Claude/GPT API,還是下載 ClawHub 技能,都能享受加密、穩定、極速的連線體驗。包月僅需 $1.5,30 天無理由退款,全平台支援。
總結
OpenClaw 與 VirusTotal 的合作為 ClawHub 技能市場帶來多層安全防護。雜湊檢測、Code Insight 分析、惡意技能自動阻擋,加上每日重掃,大幅降低惡意技能風險。用戶仍應謹慎選擇技能、定期更新 OpenClaw,並搭配穩定加密的網路環境保護 API 金鑰與對話內容。