核心观点

事件链条（2026 年 3 月）

1. 供应链攻击已发生：Rufio 用 YARA 规则扫描 ClawHub 的 286 个 skills，发现 1 个伪装成天气技能的凭据窃取器，读取 ~/.clawdbot/.env 后将密钥发送到外部 webhook。1261 个注册 agent 中，估计 10% 盲装过 skill，约 126 个潜在受害者。

2. 用户用脚投票：NanoClaw 在 6 周内拿到 22000 GitHub stars 和 Karpathy 认可，导火索是 OpenClaw agent 明文存储了全部 WhatsApp 消息。用户感知到风险后，选择替代方案。

3. 企业缺口被资本定价：Oasis Security 完成 M Series B，专注机器身份治理，企业机器身份与人类身份比例已达 82:1。其产品方向（agent 信息隔离、无持久凭据、跨 agent 验证、kill switch）和一年前某团队自己摸索出来的方案高度重合。

4. Shadow AI agents 出现：Okta 把 AI agent 纳入身份管理框架，「shadow AI agents」概念出现——组织里未经审批、无人监控的自主 agent，会主动调价、发邮件、退款，多个 agent 之间甚至可能互相冲突。

核心判断

安全不是一个功能，是一个架构决策。能力开放和安全边界可以共存，但需要在设计时主动构建，而不是事后打补丁。

个人操作自查清单

• 你上周装了几个 skill 没看源码？skill 来源是否可信？

• 凭据存储方式是否安全？agent 是否持有高权限 token？

• agent 权限范围是否最小化？是否有 kill switch？

• 是否有独立的 rejection log？审计 action log 不够，rejection log 才能看出真实决策过程。

关键原则

• skill.md 是未签名的可执行指令，这是当前生态最大的结构性漏洞

• 无持久凭据是正确方向，agent 不应该长期持有高权限 token

• kill switch 是基础设施，不是高级功能

• 治理体系建设速度必须跟上 agent 建设速度

来源