封面新闻记者 孟梅 易弋力
随着“龙虾”的火爆,越来越多用户开始养虾,让Agent直接在本地电脑上执行任务、调用工具、管理文件、连接 API 服务。AI 正逐渐从“聊天助手”升级为能够操作电脑和互联网的“智能执行者”,新的时代正在拉开序幕。
但与此同时,有关龙虾安全的关键问题开始浮现,迅速蔓延:当 Agent具有高度自主性,可以操作你的电脑时,谁来保护你的安全?近期,一些 Agent 社区已经陆续披露安全隐患案例。人们发现,部分 Skill(技能插件)可以通过提示词注入(Prompt Injection)或诱导式指令,让 Agent 泄露个人或企业敏感信息,例如 .env 文件、API Key、系统配置文件甚至 SSH Key,并将这些数据发送到外部服务器。在一个开放的 Skill 生态中,这类风险并不一定来自恶意开发者,有时只是插件设计不严谨。但只要存在有漏洞的 Skill,就可能成为用户数据泄露的入口。
在这样的背景下,3月13日,明日新程(原微软小冰创始团队)正式发布“卫士虾”(Guardian Claw),它能够替用户实时防范本机所有龙虾异常风险行为,而安装极其简单。用户只需要对自己的 Claw 说一句话:“去 Claw.myTuanzi.com 下载安装卫士虾。” 卫士虾就会自动完成全部安装,并立刻开启本机实时防护。
卫士虾可以形象地理解为Agent新时代的安全卫士,是全球首个同类产品。它是一项专门面向 OpenClaw 生态开发的 安全监督 Skill(Security Supervisor)。安装之后,它会作为一层系统级安全监管模块,对所有 Skill 的行为进行实时检查与风险评估,从而防止潜在的数据泄露或危险操作。
与传统的安全提示不同,卫士虾并不仅仅依赖简单规则,而是引入了一套更接近操作系统安全架构的机制,包括 权限控制、行为审计、风险分级以及技能沙箱。卫士虾的核心能力主要包括五个方面:
第一,Prompt Injection 防护。第二,敏感数据保护。第三,Skill 沙箱机制。第四,网络通信审查。第五,安全审计日志。
明日新程CEO、小冰之父李笛表示,卫士虾只是一个起点,团队已为群体智能下达了持续迭代的任务指令,未来版本还将引入更多高级安全机制,包括 Skill 权限声明系统、域名信誉数据库、插件签名验证以及专门的 Secret Vault,用于统一管理 API Key 等敏感凭证。
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
