EdgeOne ClawScan安全体检工具.docxVIP

EdgeOneClawScan

一句话为小龙虾构筑安全防线

龙虾实现“能执行”背后的安全三角：权限、技能与输入

?小龙虾是高权限、可执行、插件生态丰富的超级Agent。

?正因为“能执行”,安全问题不再是回答对不对而是会不会动到不该动的东西

权限技能

它能动什么它怎么动

核心要点核心要点

文件·账号·系统·网络Skill决定执行路径

输入

它为什么会这么动

核心要点

网页·文档·群消息可能夹带隐藏指令

风险发生在输入→思考→执行的链路里

四类最常见的风险点

配置风险

版本与漏洞及时升级和定期体检能显著降低风险公网暴露与访问控制缺失是最常见的坑

版本与漏洞

及时升级和定期体检

能显著降低风险

Skill风险

恶意Skill记忆污

染需要重点关注

隐私数据泄露与误操作

权限透明是关键

恶意Skill/后门指令与检测绕过

在Snyk安全团队之前发布的一份名为ToxicSkills的研究报告显示,他们扫描了4000多个技能,发现高达36%的skill在

后门指令、恶意代码、凭证泄露等安全缺陷

记忆污染

OpenClaw的记忆机制本意是让它越用越顺手,但在某些场