传统安全主要管“代码供应链”:依赖包、镜像、插件。
但 OpenClaw 这类 agent 还有一条更隐蔽的“内容供应链”:
代码供应链:插件/技能/依赖。
内容供应链:你打开的网页、你收到的消息、你导入的 PDF、你接入的频道——它们会进入 agent 的上下文,影响 tool 调用与执行。
ClawJacked 攻击之所以震撼,是因为它把“内容侧”直接连到了“控制侧”:仅访问网页就可能触发链式控制。
因此,“OpenClaw安全”必须把内容当成潜在代码 对待:
输入要分级(可信/半可信/不可信)
工具要分权(读/写/执行/网络)
运行要可隔离(sandbox 语义必须一致)##