关于 LongClaw 龙爪 VirusTotal 沙盒行为报告的说明

我们注意到 LongClaw 龙爪在 VirusTotal 的静态引擎检测中没有被安全厂商识别为恶意文件。但在沙盒行为分析页面中，仍可能出现一些 MITRE 行为标签，例如注册表查询、系统信息发现、进程发现、网络通信等。

为了避免用户误解，我们对这些行为做一个透明说明。

具体沙盒报告可在下载页面每个版本对应的 VirusTotal 扫描报告中查看：https://longclaw.cc/download。我们不隐藏真实报告来源，用户可以自行核对原始检测结果和沙盒行为记录。

WebView2 / Edge 运行时行为

LongClaw 是一个本地运行的桌面智能体应用，前端界面基于 Microsoft Edge WebView2 承载。

因此，当程序启动时，Windows 和 WebView2 / Edge 运行时会自动执行一些初始化行为，包括：

• 查询 COM / CLSID 注册表项；
• 启动 msedgewebview2.exe 子进程；
• 初始化 GPU、网络服务、存储服务和 Crashpad；
• 创建 WebView2 用户数据目录、缓存、BrowserMetrics 文件；
• 进行 Edge WebView2 相关的证书、更新或运行时检查。

这些行为属于 WebView2 / Edge 运行时的正常行为，并不是 LongClaw 业务代码主动执行的风险操作。

LongClaw 自身的注册表访问

LongClaw 自身确实会进行少量注册表访问，但用途明确且范围有限：

• 只读读取 CPU 型号和 Windows 版本，用于系统概览显示；
• 只读读取 Windows MachineGuid，用于本机安全标识；
• 写入当前用户下的 longclaw:// 协议处理器，用于系统通知点击后回到 LongClaw。

上述行为均不涉及浏览器 Cookie、密码、SSH 私钥、安全软件设置、防火墙策略，也不会进行开机自启动、提权、禁用安全软件或其它破坏性操作。

关于本地服务和网络通信

沙盒报告中的 127.0.0.1:18080 是 LongClaw 本地 Web UI 服务地址，默认仅监听本机回环地址，不会主动暴露到公网。

报告中的证书吊销检查、Edge 相关域名、WebView2 子进程等，主要来自 Windows / Edge WebView2 运行时环境。

我们的原则

LongClaw 会继续保持透明、克制和安全优先的开发原则：

• 默认本地运行；
• 敏感操作需要用户授权；
• 高风险操作需要二次确认；
• 尽量清楚地告诉用户 LongClaw 在本机执行了什么、为什么执行。

用户的信任比任何功能都重要。我们会继续把该做的安全措施做好，其它判断交给用户自己选择。