2026年初，开源AI智能体OpenClaw（昵称“龙虾”）凭借本地部署、自主执行指令的特性迅速走红，引发“养龙虾”热潮，国内云平台及社交平台纷纷提供部署与代装服务。然而，工信部与国家互联网应急中心已相继发布预警，指出其存在信任边界模糊、权限管理缺失等安全隐患：用户若配置不当，可能导致设备被控、信息泄露或产生高额费用；同时，依据《网络安全法》，未履行安全保护义务者可能面临罚款乃至刑事责任。此外，使用过程需授权读取本地数据，叠加盗版插件风险，进一步放大隐私泄露隐患。因此，天穹沙箱团队针对该智能体的安全风险展开深入分析，并推出了针对OpenClaw的运行分析环境，助力用户全面评估其安全风险，及时发现潜在威胁，保障设备与数据安全，安全“养虾”。

近期，天穹沙箱团队在常规样本狩猎分析工作中，发现XRed家族最新变种—一款基于Delphi编写的蠕虫病毒，该样本通过伪装成合法软件、多进程落地执行等手段，试图规避安全检测，并实现对受害主机的持久驻留。

近期，天穹沙箱团队在追踪银狐家族的攻击活动时，发现其最新样本采用了高度复杂且极具迷惑性的攻击链。该攻击链通过多阶段反调试检测、伪装合法软件安装、内存反射加载等技术，并结合隐蔽的进程注入与DLL侧载（DLL Side-Loading）等手段，以规避安全检测，实现持久驻留于受害者主机。

在 Windows 环境中，BYOVD（Bring Your Own Vulnerable Driver）攻击正成为高级威胁组织绕过内核防护、实现权限提升和终止安全软件的关键手段。攻击者通过加载已签名但存在漏洞的合法驱动，利用其内核级访问能力篡改关键系统结构，从而获取 SYSTEM 权限并静默关闭杀毒进程。近期，天穹沙箱全面增强了对 BYOVD 攻击行为的检测能力，该功能可精准识别样本在运行过程中部署漏洞驱动、注册内核服务、发起异常 IOCTL 调用以及篡改进程令牌或终止安全进程等关键行为。通过深度融合驱动加载上下文、内核内存操作语义与进程关联图谱，天穹沙箱能够在动态分析中实时捕获 BYOVD 攻击全链路，显著提升对内核级隐蔽威胁的检出率，为高级威胁分析与响应提供更可靠、高效的支撑。

在天穹沙箱日常运营分析过程中，监测到扩展名为.hta的文件，但其实际文件头却显示为ZIP格式，表明这类样本在文件类型上存在刻意伪装。为探究其攻击手法与规避原理，我们对该样本展开了深入分析。

在 Windows 环境中，目录穿越（Path Traversal）攻击日益频繁，攻击者常利用该漏洞绕过访问控制，非法读取或写入系统敏感文件。近期，天穹沙箱新增并优化了目录穿越行为检测能力，该功能可精准识别样本在运行过程中尝试构造或利用路径遍历（如 ..\、%5c..%5c 等）的行为，实时捕获其对非授权路径的访问企图。通过这一增强机制，沙箱在动态分析中能够更全面、更深入地揭示潜在的目录穿越风险，显著提升对高隐蔽性攻击的检出率，为安全分析提供更可靠、更高效的支撑。