实测了一下阿里云的贾维斯 Claw ，我从 ClawHub 上下载了 18 个 Skill 插件，用阿里云的 JVS Claw 做了一次完整的安全审计。

事情的背景是这样的：今年 3 月，OpenClaw 的插件中心被曝出 340 多个恶意 Skill，伪装成天气查询、一键排版之类的小工具，实际上藏着键盘记录器和凭据窃取器。更夸张的是，平台上大约 36.82% 的 Skill 都存在安全缺陷。

我先把 MCP 协议规范、Skill 开发文档和慢雾安全团队的安全检查清单喂给了 JVS Claw，让它自己整理出一份审计标准，覆盖了十三个大类、上百个检查项。然后让它按照这份标准去扫描本地的 18 个 Skill。整个过程大概 10 分钟就跑完了。

结果也挺触目惊心的。综合评分 78 分，将近一半的 Skill 有安全问题。其中一个叫 agent-reach 的插件被标为高风险，它集成了十几个社交平台的操作能力，但 Cookie 是明文存储的，还能直接提取你本地浏览器的 Cookie，完全没有授权确认。CVSS 评分直接打到了 9.1。

具体实测效果大家可以看看这篇文章：
http://t.cn/AXM4TCJK

#科技先锋官##How I AI#