就在3月13日,国家网络安全通报中心发布了一条预警,大家才惊觉风险存在。网络安全研究人员对ClawHub平台上的3106个skills进行了详细分析,结果发现有336个携带着恶意代码。换算下来,每安装10个skills,就有1个可能是带毒的。官方平台尚且如此,更别提那些第三方镜像站了。根据网友们的实际测试反馈,有些第三方镜像站提供的skills几乎100%都植入了木马。这些带毒的skills不仅会把你的敏感文件打包上传,还能窃取你的API密钥、植入定时后门。这不仅会偷走你花费真金白银买来的Tokens,还会把你的电脑变成黑客手中的“肉鸡”。因为skills的构成形式和传统软件不同,所以传统杀毒引擎往往难以发现其恶意特征。不过就在腾讯推出“龙虾管家”之前,业内也有人给出了解决方案——Skill Vetter。可惜它需要使用命令行安装,这对电脑小白来说操作起来并不方便。现在好了,腾讯的“龙虾管家”把这一切都给简化了。它不仅能在你从ClawHub下载skills时直接提示“文件有病毒”,还能将本地已有的恶意skills分辨出来并清理掉。从某种意义上说,这就是新时代的360安全卫士。回想当年360安全卫士凭借免费且易用的设计异军突起,它创造性地把查杀流氓软件、更新Windows补丁、软件管家、电脑体检、网盾/网购保镖等功能集于一身。这种既能帮你杀毒又能清理垃圾、优化开机时间、更新软件版本的工具,自然受到了广大小白用户的青睐。同理,现在的AI小白自然也需要“龙虾管家”来帮自己管理电脑上的龙虾。所以它的刚需属性是毋庸置疑的。既然腾讯早就做了准备,那这次真的是解决了大问题。就在3月27日,腾讯云发布了Agent产品全景图,“腾讯龙虾特攻队”全员亮相。在这支队伍中,腾讯电脑管家推出的“龙虾管家”引起了我们的注意。毕竟当年360安全卫士靠查杀流氓软件闯出了名堂,现在腾讯似乎也打算复制这个成功模式。当OpenClaw这个开源智能体框架刚火起来时,专业网络安全人员就指出了它存在的不可能三角:访问私人数据、暴露于不可信内容、具备自主执行能力。与沙盒化的ChatGPT、豆包等AI聊天机器人不同,OpenClaw的定位是代替你来操作电脑。这就意味着它必须获得很高的系统权限,才能操控本地文件和软件。我记得有一个非常经典的安全事故:用户让OpenClaw删掉占空间的大文件结果它按自己的理解界定“大”,并执行了删除操作还覆盖了剩余文件。出现这种现象的原因很简单——自主性太高。凡是涉及模糊指令或信息不完整的场景,OpenClaw都会选择自行“脑补”缺失信息然后执行,而不是停下来向用户确认。更要命的是想要让OpenClaw办事必须联网获取并接入大模型API。但对于那些不了解SSH登录等操作的用户来说,往往在本地测试成功后直接上云就会导致设备暴露在公开网络中。当然随着各大厂商推出一键部署的安装包这类问题算是得到了一定缓解。虽然旧问题解决了但新的问题又冒出来了:毕竟OpenClaw只是个框架要满足特定需求还得下载各种技能插件(skills)。既然PC互联网时代有流氓软件、移动互联网时代有恶意App那么现在的skills被植入病毒木马自然也不奇怪。腾讯创始人马化腾早在两周前就在朋友圈预热了全系“龙虾”产品矩阵。他提到了自研龙虾、本地虾、云端虾、企业虾、云桌面虾还有安全隔离虾房、云保安、知识库等产品还有一批产品正在赶来中这次他真的把所有资源都投入进去了。