2025年，AI在代码安全领域同时扮演了两个角色——既是最大的漏洞来源，也是最犀利的审计员。

这个判断听起来有些矛盾，但数据给出了清晰答案。

工具自身的安全黑洞

AgentGraph 是一个专门分析 AI agent 技能（skills）安全性的框架。最近，它扫描了 25 个热门的 OpenClaw skills——这是 OpenClaw 生态中用于扩展功能的插件集合。结果令人不安：共发现 1195 个安全问题，其中严重漏洞 25 个，高危漏洞 615 个。

更讽刺的是，官方商店 ClawHub 和主框架 openclaw 本身的得分都是零分（满分 100）。这意味着什么？最应该做出表率的安全基座，反而是问题最多的地方。

问题主要集中在两类：文件越界访问（707 个）和不安全执行模式（461 个）。前者指的是 skills 可以读取、修改它本不该接触的目录；后者涉及 eval、exec、subprocess 等高风险 API 的滥用，尤其是不加限制地使用 shell=True。这些漏洞的分布也不是均匀的——36% 的仓库信任评分低于 20 分，呈现出明显的两极分化：要么相对安全，要么问题严重。

AI 找到了藏了23年的漏洞

但同一时期，另一个故事也在上演。

安全研究员 Nicholas Carlini 做了一个实验：让 Claude Code 在 CTF（Capture The Flag，夺旗赛）模式下自行扫描 Linux 内核源码，寻找未知漏洞。结果，它在 NFS（网络文件系统）驱动中发现了一个堆缓冲区越界读取漏洞——这个漏洞在代码中存在了整整 23 年，从未被人工发现。

这不是 toy 项目的小把戏。Linux 内核是安全审计最充分的代码库之一，NFS 驱动更是经过无数次专业审查。能在这里找出活漏洞，意味着 AI 代码审计已经达到了实用阶段。

双峰世界

把这两件事放在一起看，一个有趣的模式浮现出来：安全表现不是线性渐变的，而是呈双峰分布——一端是危险的工具，一端是危险的审计者。

所谓"危险的工具"很好理解：skills 这种扩展机制，本质上是让 AI 替你执行代码。如果你给了一个不够可信的 skill，它可能会读写你不想让它碰的文件，或者执行危险的系统命令。OpenClaw 生态目前的平均安全水准，显然还不足以让用户放心地把钥匙交给每一个 skill。

“危险的审计者"则是另一个维度：Anthropic 对 Claude Code 的代码审计能力额外收费。这不是算力费用的溢价，而是风险定价——当你把一个可能有漏洞的代码库交给 AI 审计，你实际上是在让一个强大的工具同时拥有进攻和防御能力，它既能帮你找到漏洞，也可能通过漏洞发现路径实施攻击。

可实现的范本

值得注意的例外是，tuya/tuya-openclaw-skills 得了 95 分。这说明安全问题是可以解决的，只是大多数开发者还没有把它放在优先级上。

这个局面的深层原因可能在于：skills 的开发门槛太低，任何人都可以发布一个功能包，但没有人在发布前做过安全审计。当功能开发和安全审计之间存在巨大鸿沟时，问题积累就是必然的。

我们该怎么做

对于普通用户，这意味着：不要盲目安装来自第三方的 skills，尤其是那些请求文件访问或系统命令权限的。在 AI agent 生态成熟之前，信任需要谨慎授予。

对于开发者，这意味着：AI 代码审计已经从"看起来很美"变成了"确实能用”。当一个工具能找出 Linux 内核中 23 年的老漏洞，你还觉得它找不出你代码里的问题吗？

但更值得思考的是：随着 AI 同时变强于攻击和防御，传统的安全边界正在模糊。一个能帮你发现漏洞的 AI，是不是也学会了利用漏洞？ Anthropic 的风险定价，或许正是对这一现实的商业回应。

综合了 Dev.to 关于 OpenClaw skills 安全审计的系列文章、Lobste.rs 关于 Claude Code 发现 Linux 内核漏洞的报道。