夜雨聆风OpenClaw 2026.3.28更新,新增了Plugin approval hooks功能。任何工具执行前都可以暂停等待用户确认。这不是简单的功能增加,是对安全问题的正面回应,更是AI Agent行业的一次理念升级。
几个月前,Cisco安全团队披露OpenClaw存在超4万个漏洞,第三方Skill可能被恶意利用,AI可被诱导执行危险操作。当时舆论哗然,很多人质疑:把电脑控制权交给AI,真的安全吗?
这个问题不只是技术问题,是信任问题。用户不敢用,企业不敢部署,再强的功能也是白搭。
OpenClaw的回应不是简单的修bug,是改机制。这次更新的Plugin approval hooks,就是答案。从根本上改变"AI自动执行"的设计理念,变成"AI辅助+人工确认"。
核心机制
以前:插件直接执行,AI自动操作,用户事后才知道做了什么。 现在:关键步骤暂停,弹出确认提示,用户点头后才继续,用户有最终控制权。
技术原理
在工具调用链中插入"审批钩子"。执行前检查是否需要确认,需要则暂停等待,不需要则继续执行。这个钩子可以配置,灵活度很高。
可配置性
全局开关:开启/关闭审批模式 插件级别:针对特定插件设置是否需要确认 操作级别:针对特定操作类型设置(读操作不确认,写操作确认) 白名单:信任插件跳过确认,不影响效率
适用场景
涉及钱的操作:转账、支付必须确认 删除/修改重要数据:防止误删 访问敏感信息:隐私保护 执行系统命令:防止恶意代码
之前的安全隐患
第三方Skill风险:恶意Skill可能窃取数据、执行危险操作,用户完全不知情。 AI被诱导:通过精心构造的prompt,让AI执行非预期操作,比如删除文件、发送邮件。 误操作:AI理解偏差,执行错误命令,比如改错配置文件、删错数据。
现在的防护机制
关键操作必确认:涉及钱、删除、敏感信息的操作,必须人工确认,AI不能擅自做主。 用户最终控制权:AI再强,最终决策权在人。这是底线,也是信任的基础。 可追溯:所有审批操作有日志,便于审计。出了问题,能查到是哪一步、谁确认的。
OpenClaw的示范效应
其他AI Agent平台可能会跟进。安全不再是"事后补救",是"事前预防"。这是行业标准的建立过程。
用户认知转变
从"完全信任AI"到"AI辅助+人工确认"。这不是倒退,是成熟。就像自动驾驶,最终目标是无人驾驶,但现阶段需要人工监督。
商业模式影响
企业级用户更敢用了。之前担心的安全问题,现在有了机制保障。B端市场的打开,可能比C端更有价值。
竞争格局变化
安全机制成为核心竞争力。不只是比功能、比价格,还要比安全、比可控。这对用户是好事。
不是功能增加,是设计理念转变
从"自动执行"到"人工确认",承认AI不是万能的,需要人的监督。这不是对AI的不信任,是对复杂系统的敬畏。
平衡很重要
过度确认会影响效率,完全自动又有风险。OpenClaw的做法是:可配置,让用户自己平衡。简单任务流畅执行,关键操作人工把关。
未来趋势
AI Agent的安全机制会越来越完善。审批、隔离、审计,会成为标配。未来的AI,不是完全自动,是可控的自动。
对用户的建议
默认开启关键操作确认,安全第一 信任插件加入白名单,不影响效率 定期检查审批日志,了解AI做了什么 重要操作双重确认,不怕麻烦
OpenClaw这次更新,让产品从"能用"变成"敢用"。技术再先进,最终控制权应该在人手里。
AI时代,我们需要的不是完全自动,是可控的自动。Plugin approval hooks,是向这个方向迈出的重要一步。
国产AI在进步,OpenClaw在进化。期待更多这样的更新,让AI真正为人所用,而不是让人为AI所困。
作者:小龙哥,AI工具探索者,专注研究自动化工作流和效率工具。欢迎交流!
