维度网讯，安全代理框架 NanoClaw 与软件供应链管理平台 JFrog 达成合作，使 AI 代理能够从 JFrog 经过审核的注册表中获取资源。

NanoCo AI 联合创始人 Gavriel Cohen 在旧金山举行的 JFrog 活动上宣布了这一合作。Cohen 介绍，Claw 代理系列的一大特性在于可通过获取自身所缺少的工具和资源来进行自我改进。

Cohen 解释，当访问已知本地数据需要手动审批流程时，该方法效果良好。但对于 npm 包而言并不理想，即便是像 NanoClaw 那样经过沙盒化和隔离处理的代理，容器内的恶意代码仍可能采取有害行动。

开发者可能不熟悉某个包，需要时间来全面评估其合法性及是否被篡改。为此，NanoClaw 与 JFrog 注册表进行了集成，当代理下载新工具和库时，资源来自经过审查的来源，从而减少代理接触不受信任内容的可能。

Cohen 同时宣布了“代理工厂”的可用性。该系统由该公司内部开发，使用 NanoClaw 代理处理拉取请求。随着 AI 编码代理的兴起，拉取请求数量激增，代理工厂旨在对其进行分类。Cohen 指出，维护者难以区分高质量贡献与那些使用自动化方法建立声誉的行为。

代理工厂使用 NanoClaw 构建，并托管在提供持久存储虚拟机的 exe.dev 上。当拉取请求开启时，工厂会启动专用工作代理，在 Slack 上发布线程，工作人员对变更进行分类、审查差异并提出测试计划。所有操作均需人工点击批准后才会触发。

Cohen 认为，处理包含提示注入或不安全代码的拉取请求存在风险。任何在开发环境中使用和配置 AI 代理的人都可能在类似 Claude.md 的配置文件中看到禁止执行危险操作的指令。他强调，指令有助于引导代理产生有价值的输出，但不是一种安全机制。防止代理采取非期望行为的唯一方法是禁止其采取该行为，而非仅仅给予指令。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com