OpenClaw 这类 agent 还有一条更隐蔽的“内容供应链”：

南隐

传统安全主要管“代码供应链”：依赖包、镜像、插件。

但 OpenClaw 这类 agent 还有一条更隐蔽的“内容供应链”：

代码供应链：插件/技能/依赖。
内容供应链：你打开的网页、你收到的消息、你导入的 PDF、你接入的频道——它们会进入 agent 的上下文，影响 tool 调用与执行。

ClawJacked 攻击之所以震撼，是因为它把“内容侧”直接连到了“控制侧”：仅访问网页就可能触发链式控制。

因此，“OpenClaw安全”必须把内容当成潜在代码 对待：

输入要分级（可信/半可信/不可信）
工具要分权（读/写/执行/网络）
运行要可隔离（sandbox 语义必须一致）##