2026 年 2 月,Claw 生态遭遇了最严重的安全事件:ClawHavoc。ClawHub 上发现了 1,184 个恶意 Skill——凭证窃取、反向 shell、prompt 注入——在峰值感染率 12% 时影响了超过 30 万用户。
社区的响应很快:VirusTotal 扫描、人工审计、紧急下架。但尘埃落定后,一个令人不安的问题浮出水面:
你怎么知道一个 Skill 是”好的”——而不仅仅是”不是病毒”?
VirusTotal 告诉你代码是否包含已知恶意签名。它不告诉你代码结构是否合理、是否请求了超出需要的权限、是否真的做了它声称要做的事情。“没有恶意”和”真正可信”之间的鸿沟,正是 Trust Shield 存在的意义。
信任鸿沟
ClawHub 托管了超过 38,000 个公开 Skill。在 ClawHavoc 之前,开发者能获得的质量信号只有:
- 下载量——衡量的是流行度,不是质量
- 星级评分——主观且可被刷
- “已验证”徽章——只证明作者是真人,不证明代码安全
这些都无法回答开发者安装前真正想问的问题:“这段代码会不会做我意料之外的事?“
V(g):Agent 能力的静态分析
Trust Shield 引入了 V(g) 安全扫描——一个轻量级的 AST 静态分析器,读取 Skill 源代码并报告客观发现。没有 AI,没有启发式猜测,没有主观判断——只有基于 7 条规则的模式匹配:
| 等级 | 含义 | 徽章颜色 |
|---|---|---|
| A | 零 CRITICAL + 零 HIGH 风险模式 | 绿色 |
| B | 零 CRITICAL,≤2 个 HIGH 且有合理用途说明 | 浅绿色 |
| C | 零 CRITICAL,>2 个 HIGH 风险模式 | 黄色 |
| D | ≥1 个 CRITICAL 模式(eval、命令注入、代码混淆) | 红色 |
| ? | 纯 Prompt Skill(无源代码可扫描) | 灰色 |
扫描器检测 eval()、child_process.exec()、base64 解码后执行、未声明的网络请求、环境变量读取等模式。每个发现都包含文件名、行号和代码片段——报告事实,不做意图判断。
V(g) 不是什么:它不替代 VirusTotal,不保证绝对安全。它是一个互补信号,填补”不是已知病毒”和”可以放心安装”之间的空白。
信任徽章:一行 Markdown
每个被扫描的 Skill 都会获得一个由 badge.rotifer.dev 驱动的徽章——一个 Cloudflare Worker 提供 shields.io 兼容的 JSON 端点:
Skill 作者只需在 README 中嵌入一行代码,零配置。徽章会在 Skill 代码变更并重新扫描后自动更新。
对于 Rotifer Gene(不仅限于 ClawHub Skill),还提供额外的徽章:
- 声誉评分 — Gene Registry 中的 R(g)
- 适应度评分 — Arena 竞争中的 F(g)
- 开发者声誉 — 所有已发布 Gene 的聚合评分
超越安全的意义
Trust Shield 是我们为 Claw 生态构建的信任基础设施的第一层。今天的扫描规则故意保守——它们报告客观模式而不做意图判断。但架构设计为可进化的:
今天(v0.7.9):静态 AST 扫描。二元安全/不安全模式。徽章生成。
下一步:质量指标。Skill 是否处理了错误?是否清理了资源?是否做了它声称要做的事?
最终目标:将评估 Rotifer Gene 的同一个适应度函数 F(g)——衡量实际运行时行为,而非仅仅是代码模式——应用于更广泛的 Claw Skill 生态。
从”不是病毒”到”确实好用”的路很长。Trust Shield 是第一步。
试试看
扫描任何 ClawHub Skill:
npm install -g @rotifer/playgroundrotifer vg scan ./path-to-skill或在 rotifer.dev/badge 生成徽章。
扫描器、徽章服务和 CLI 都是开源的。我们构建 Trust Shield,是因为 Claw 生态需要它——也因为为 AI Agent 构建信任基础设施,正是 Rotifer Protocol 被设计用来做的事。