在我的家庭办公室里,有一台运行着 OpenClaw 的 DGX Spark。通过安全隧道,它连接到了我的手机和笔记本电脑。毫不夸张地说,它已经成为了我们家庭运行的“操作系统”。

我和妻子用它来规划孩子的日程;我编写了一个 Agent 技能(Skill),每天早上调取学校的午餐菜单作为提醒;另一个技能则负责追踪孩子们的网球比赛抽签。通过 Zapier 连接 Model Context Protocol (MCP) 服务器,它能同步我的电子邮件、日历和 Discord。它会在我遗忘时给予提醒,承载了我大脑无法容纳的所有背景信息。它甚至成了我深度思考的伙伴——在那些策略想法变成正式幻灯片之前,我会先在这里将雏形打磨成型。

OpenClaw 不仅改变了个人的生产力,也从根本上改变了我们家庭的运作方式。但这正是令我感到恐惧的地方:它暴露在外的风险实在是太大了。

爆发式增长的开源项目,也是巨大的攻击目标

OpenClaw 的崛起堪称爆炸式。自 2025 年 11 月 Peter Steinberger 发布首个版本以来,它以开源史上前所未有的速度走红:GitHub 星数在几天内突破 6 万,几个月内达到数十万。英伟达 CEO 黄仁勋将其称为“个人 AI 的操作系统”。

这种狂热是有道理的。OpenClaw 代表了一种真正的范式转移——从“你与其交谈的 AI”转变为“代表你行动的 AI”。它读取你的文件、管理你的工具、运行 Shell 命令、连接社交平台,甚至在你睡觉时为自己构建新功能。正如早期用户所言,它是目前最接近“贾维斯(Jarvis)”的存在。

然而,OpenClaw 也是开源史上安全危机最集中的焦点。在它走红后的三周内,我们就目睹了一波严重的攻击浪潮:

  • CVE-2026-25253:一个高危远程代码执行(RCE)漏洞,用户只需访问一个恶意网页,其 Agent 就会被劫持。
  • 暴露风险:公网上有超过 13.5 万个 OpenClaw 实例,其中数千个存在安全漏洞。
  • ClawHavoc 供应链攻击:攻击者在 ClawHub 中植入了 800 多个恶意技能(约占注册总数的 20%),打着生产力工具的幌子分发信息窃取程序。
  • 隐蔽威胁:安全研究人员演示了恶意第三方技能如何在用户毫无察觉的情况下,执行数据外泄和提示词注入(Prompt Injection)。

对于一个拥有完整系统访问权限、广泛网络连接且依赖社区贡献插件的 Agent 来说,其攻击面极其庞大。

弥合“强大”与“安全”之间的鸿沟

过去一年,生态系统开始做出回应。英伟达发布的 OpenShell 提供了 OpenClaw 之前缺失的基础设施级沙箱:内核隔离、默认拒绝的网络访问、基于 YAML 的策略执行以及确保敏感数据留在本地的隐私路由器。这些控制措施运行在进程之外,意味着 Agent 无法绕过它们。

思科(Cisco)在此基础上更进一步。我们的 AI 防御团队发布了关于恶意技能如何利用信任模型进行攻击的研究,并推出了开源的 Skill Scanner

但我们发现仍然缺少一个操作层(Operational Layer):即开发者或安全意识较强的家庭在日常运行中,如何具体管理和治理一个“Claw”?OpenShell 提供了沙箱,思科提供了扫描器,但谁来管理黑名单?凌晨两点出问题时,谁来查看告警?

这就是 DefenseClaw 诞生的原因。

DefenseClaw:简化 OpenClaw 的安全部署

DefenseClaw 是思科推出的开源项目。它是位于 OpenShell 之上的 Agent 治理层,整合了思科的开源扫描器,开发者可以在 5 分钟内完成部署。

DefenseClaw 主要实现三大功能:

1. 运行前全量扫描

在进入环境之前,每一个技能、工具、插件以及由 Claw 生成的每一行代码都必须经过扫描。 扫描引擎集成了五种工具:

  • skill-scannermcp-scanner
  • a2a-scanner
  • CodeGuard 静态分析
  • AI 软件物料清单 (AI BOM) 生成器

当你输入安装命令时,系统会先进行扫描、检查黑白名单并生成清单,只有通过后才会允许安装。

2. 运行时威胁检测

Agent 是自我进化的系统。一个周二看起来很干净的技能,可能在周四就开始外泄数据。DefenseClaw 不会假设“一次通过,永远安全”。它的内容扫描器会在执行循环中,检查流向 Agent 以及从 Agent 流出的每一条消息。

3. 强制性的准入与拦截

DefenseClaw 的黑白名单机制不是“建议”,而是“高墙”。

  • 当你封禁一个技能时,它的沙箱权限会被立即撤销,文件被隔离,Agent 尝试调用时会报错。
  • 当你封禁一个 MCP 服务器时,该端点会从沙箱网络白名单中移除。 整个过程在 2 秒内完成,无需重启。

原生可观测性

对于大规模运行 Agent 的场景,DefenseClaw 提供了“原生可观测性”。它开箱即用地连接到 Splunk。

从 Agent 上线那一刻起,所有的扫描结果、拦截决策、提示词-响应对、工具调用以及策略执行动作,都会作为结构化事件流向 Splunk。你不需要事后补救式地增加监控,所有遥测数据从一开始就存在。我们的目标很简单:如果你的 Agent 做了任何动作,都必须留下记录。

结语

DefenseClaw 将于 2026 年 3 月 27 日在 GitHub 正式发布。我们希望通过这一工具,让开发者能够在享受 AI Agent 强大能力的同步,获得企业级的安全保障。

👉 如果你需要 ChatGPT 代充 / Claude / Claude Code / 镜像 / 中转 API