fix: harden unicode safety checks

docs/zh-CN/the-openclaw-guide.md

@@ -8,7 +8,7 @@
 
 我使用 OpenClaw 一周。以下是我的发现。
 
-> 📸 **\[图片：带有多个连接频道的 OpenClaw 仪表板，每个集成点都标注了攻击面标签。]**
+> **\[图片：带有多个连接频道的 OpenClaw 仪表板，每个集成点都标注了攻击面标签。]**
 > *仪表板看起来很令人印象深刻。每个连接也是一扇未上锁的门。*
 
 ***
@@ -29,7 +29,7 @@
 
 没有人检查过。
 
-> 📸 **\[图片：终端截图显示一个 ClawdHub 技能文件，其中包含一个高亮显示的隐藏指令——顶部是可见的任务定义，下方显示被注入的系统指令。已涂改但显示了模式。]**
+> **\[图片：终端截图显示一个 ClawdHub 技能文件，其中包含一个高亮显示的隐藏指令——顶部是可见的任务定义，下方显示被注入的系统指令。已涂改但显示了模式。]**
 > *我在一个“完全正常”的 ClawdHub 技能中发现的隐藏指令，深入代码 12 行。我发现了它，因为我阅读了源代码。*
 
 OpenClaw 有很多攻击面。很多频道。很多集成点。很多社区贡献的技能没有审查流程。大约四天后，我意识到，对它最热情的人恰恰是最没有能力评估风险的人。
@@ -56,7 +56,7 @@ OpenClaw 的宣传点：一个开源编排层，让 AI 智能体在你的整个
 
 然后我开始探测其安全模型。便利性开始让人觉得不值得了。
 
-> 📸 **\[图表：OpenClaw 的多频道架构——一个中央“ClawdBot”节点连接到 Telegram、Discord、X、WhatsApp、电子邮件、浏览器和文件系统的图标。每条连接线都用红色标记为“攻击向量”。]**
+> **\[图表：OpenClaw 的多频道架构——一个中央“ClawdBot”节点连接到 Telegram、Discord、X、WhatsApp、电子邮件、浏览器和文件系统的图标。每条连接线都用红色标记为“攻击向量”。]**
 > *你启用的每个集成都是你留下的另一扇未上锁的门。*
 
 ***
@@ -77,7 +77,7 @@ OpenClaw 的宣传点：一个开源编排层，让 AI 智能体在你的整个
 
 **步骤 4 —— 权限提升。** 在许多 OpenClaw 设置中，智能体以广泛的文件系统访问权限运行。触发 shell 执行的提示注入意味着游戏结束。那就是对设备的 root 访问权限。
 
-> 📸 **\[信息图：4 步攻击链，以垂直流程图形式呈现。步骤 1（通过 Telegram 进入）-> 步骤 2（提示注入载荷）-> 步骤 3（在 X、电子邮件、iMessage 之间横向移动）-> 步骤 4（通过 shell 执行获得 root 权限）。背景颜色随着严重性升级从蓝色渐变为红色。]**
+> **\[信息图：4 步攻击链，以垂直流程图形式呈现。步骤 1（通过 Telegram 进入）-> 步骤 2（提示注入载荷）-> 步骤 3（在 X、电子邮件、iMessage 之间横向移动）-> 步骤 4（通过 shell 执行获得 root 权限）。背景颜色随着严重性升级从蓝色渐变为红色。]**
 > *完整的攻击链——从一个看似可信的 Telegram 链接到你设备上的 root 权限。*
 
 这个链条中的每一步都使用了已知的、经过验证的技术。提示注入是 LLM 安全中一个未解决的问题——Anthropic、OpenAI 和其他所有实验室都会告诉你这一点。而 OpenClaw 的架构**最大化**了攻击面，这是设计使然，因为其价值主张就是连接尽可能多的频道。
@@ -98,7 +98,7 @@ Discord 和 WhatsApp 频道中也存在相同的访问点。如果你的 ClawdBo
 
 每个都是一个独立的攻击面。每个都是真实的 OpenClaw 用户正在运行的真实集成。每个都具有相同的基本漏洞：智能体以受信任的权限处理不受信任的输入。
 
-> 📸 **\[图表：中心辐射图，显示中央的 ClawdBot 连接到 Discord、WhatsApp、X、Telegram、电子邮件。每个辐条显示特定的攻击向量：“频道中的恶意链接”、“消息中的提示注入”、“精心设计的私信”等。箭头显示频道之间横向移动的可能性。]**
+> **\[图表：中心辐射图，显示中央的 ClawdBot 连接到 Discord、WhatsApp、X、Telegram、电子邮件。每个辐条显示特定的攻击向量：“频道中的恶意链接”、“消息中的提示注入”、“精心设计的私信”等。箭头显示频道之间横向移动的可能性。]**
 > *每个频道不仅仅是一个集成——它是一个注入点。每个注入点都可以转向其他每个频道。*
 
 ***
@@ -148,7 +148,7 @@ Discord 和 WhatsApp 频道中也存在相同的访问点。如果你的 ClawdBo
 
 这就是悖论所在：**能够安全评估 OpenClaw 风险的人不需要它的编排层。需要编排层的人无法安全评估其风险。**
 
-> 📸 **\[维恩图：两个不重叠的圆圈——“可以安全使用 OpenClaw”（不需要 GUI 的技术用户）和“需要 OpenClaw 的 GUI”（无法评估风险的非技术用户）。空白的交集处标注为“悖论”。]**
+> **\[维恩图：两个不重叠的圆圈——“可以安全使用 OpenClaw”（不需要 GUI 的技术用户）和“需要 OpenClaw 的 GUI”（无法评估风险的非技术用户）。空白的交集处标注为“悖论”。]**
 > *OpenClaw 悖论——能够安全使用它的人不需要它。*
 
 ***
@@ -178,7 +178,7 @@ Karpathy 的反应是：**“这是一场灾难，我也绝对不建议人们在
 
 如果构建代理基础设施的平台连自己的数据库都保护不好，我们怎么能对在这些平台上运行的未经审查的社区贡献有信心呢？
 
-> 📸 **\[数据可视化：显示 Moltbook 泄露数据的统计卡——“149 万条记录暴露”、“3.2 万+ API 密钥”、“3.5 万封电子邮件”、“包含 Karpathy 的机器人 API 密钥”——下方有来源标识。]**
+> **\[数据可视化：显示 Moltbook 泄露数据的统计卡——“149 万条记录暴露”、“3.2 万+ API 密钥”、“3.5 万封电子邮件”、“包含 Karpathy 的机器人 API 密钥”——下方有来源标识。]**
 > *Moltbook 泄露事件的数据。*
 
 ### ClawdHub 市场问题
@@ -204,7 +204,7 @@ Karpathy 的反应是：**“这是一场灾难，我也绝对不建议人们在
 
 这是代理时代的 `curl mystery-url.com | bash`。只不过，你不是在运行一个未知的 shell 脚本，而是向一个能够访问你的账户、文件和通信渠道的代理注入未知的提示工程。
 
-> 📸 **\[时间线图表：“1 月 27 日——上传 230+ 个恶意技能” -> “1 月 30 日——披露 CVE-2026-25253” -> “1 月 31 日——发现 Moltbook 泄露” -> “2026 年 2 月——确认 800+ 个恶意技能”。一周内发生三起重大安全事件。]**
+> **\[时间线图表：“1 月 27 日——上传 230+ 个恶意技能” -> “1 月 30 日——披露 CVE-2026-25253” -> “1 月 31 日——发现 Moltbook 泄露” -> “2026 年 2 月——确认 800+ 个恶意技能”。一周内发生三起重大安全事件。]**
 > *一周内发生三起重大安全事件。这就是代理生态系统中的风险节奏。*
 
 ### CVE-2026-25253：一键完全入侵
@@ -234,7 +234,7 @@ Gary Marcus 称之为 **“基本上是一种武器化的气溶胶”**——意
 
 这些不是匿名的 Reddit 帖子或假设场景。这些是带有 CVSS 评分的 CVE、被多家安全公司记录的协调恶意软件活动、被独立研究人员确认的百万记录数据库泄露事件，以及来自世界上最大的网络安全组织的事件报告。担忧的证据基础并不薄弱。它是压倒性的。
 
-> 📸 **\[引用卡片：分割设计——左侧：CrowdStrike 引用“将提示注入转变为全面入侵的推动者。”右侧：Palo Alto Networks 引用“致命三要素……其架构中内置了过度的代理权。”中间是 CVSS 8.8 徽章。]**
+> **\[引用卡片：分割设计——左侧：CrowdStrike 引用“将提示注入转变为全面入侵的推动者。”右侧：Palo Alto Networks 引用“致命三要素……其架构中内置了过度的代理权。”中间是 CVSS 8.8 徽章。]**
 > *世界上最大的两家网络安全公司，独立得出了相同的结论。*
 
 ### 有组织的越狱生态系统
@@ -255,7 +255,7 @@ Gary Marcus 称之为 **“基本上是一种武器化的气溶胶”**——意
 
 防御是集中式的（少数实验室致力于安全研究）。进攻是分布式的（一个全球社区全天候迭代）。更多的渠道意味着更多的注入点，意味着攻击有更多的机会成功。模型只需要失败一次。攻击者可以在每个连接的渠道上获得无限次尝试。
 
-> 📸 **\[DIAGRAM: "The Adversarial Pipeline" — left-to-right flow: "Abliterated Model (HuggingFace)" -> "Jailbreak Development" -> "Technique Refinement" -> "Production Model Exploit" -> "Delivery via OpenClaw Channel". Each stage labeled with its tooling.]**
+> **\[DIAGRAM: "The Adversarial Pipeline" — left-to-right flow: "Abliterated Model (HuggingFace)" -> "Jailbreak Development" -> "Technique Refinement" -> "Production Model Exploit" -> "Delivery via OpenClaw Channel". Each stage labeled with its tooling.]**
 > *攻击流程：从被破解的模型到生产环境利用，再到通过您代理的连接通道进行交付。*
 
 ***
@@ -292,7 +292,7 @@ OWASP 引入了一个称为 **最小自主权** 的原则：只授予代理执
 | **爆炸半径** | 代理可以访问的一切 | 沙盒化到项目目录 |
 | **安全态势** | 隐式（您不知道您暴露了什么） | 显式（您选择了每一个权限） |
 
-> 📸 **\[COMPARISON TABLE AS INFOGRAPHIC: The MiniClaw vs OpenClaw table above rendered as a shareable dark-background graphic with green checkmarks for MiniClaw and red indicators for OpenClaw risks.]**
+> **\[COMPARISON TABLE AS INFOGRAPHIC: The MiniClaw vs OpenClaw table above rendered as a shareable dark-background graphic with green checkmarks for MiniClaw and red indicators for OpenClaw risks.]**
 > *MiniClaw 理念：90% 的生产力，5% 的攻击面。*
 
 我的实际设置：
@@ -330,12 +330,12 @@ OpenClaw 提供的所有功能都可以用技能和工具来复制——我在 [
 
 **多个接入点是一个漏洞，而不是一个功能。**
 
-> 📸 **\[SPLIT IMAGE: Left — "Locked Door" showing a single SSH terminal with key-based auth. Right — "Open House" showing the multi-channel OpenClaw dashboard with 7+ connected services. Visual contrast between minimal and maximal attack surfaces.]**
+> **\[SPLIT IMAGE: Left — "Locked Door" showing a single SSH terminal with key-based auth. Right — "Open House" showing the multi-channel OpenClaw dashboard with 7+ connected services. Visual contrast between minimal and maximal attack surfaces.]**
 > *左图：一个接入点，一把锁。右图：七扇门，每扇都没锁。*
 
 有时无聊反而更好。
 
-> 📸 **\[SCREENSHOT: Author's actual terminal — tmux session with Claude Code running on Mac Mini over SSH. Clean, minimal, no dashboard. Annotations: "SSH only", "No exposed ports", "Scoped permissions".]**
+> **\[SCREENSHOT: Author's actual terminal — tmux session with Claude Code running on Mac Mini over SSH. Clean, minimal, no dashboard. Annotations: "SSH only", "No exposed ports", "Scoped permissions".]**
 > *我的实际设置。没有多渠道仪表盘。只有一个终端、SSH 和 Claude Code。*
 
 ### 便利的代价
@@ -378,7 +378,7 @@ OpenClaw 可以演变成这样。基础已经存在。社区积极参与。团
 
 我想诚实地谈谈这里的反方论点，因为它并非微不足道。对于确实需要 AI 自动化的非技术用户来说，我描述的替代方案——无头服务器、SSH、tmux——是无法企及的。告诉一位营销经理“直接 SSH 到 Mac Mini”不是一个解决方案。这是一种推诿。对于非技术用户的正确答案不是“不要使用递归代理”。而是“在沙盒化、托管、专业管理的环境中使用它们，那里有专人负责处理安全问题。”您支付订阅费。作为回报，您获得安心。这种模式正在到来。在它到来之前，自托管多通道代理的风险计算严重倾向于“不值得”。
 
-> 📸 **\[DIAGRAM: "The Winning Architecture" — a layered stack showing: Hosted Infrastructure (bottom) -> Sandboxed Containers (middle) -> Audited Skills + Minimal Permissions (upper) -> Clean Dashboard (top). Each layer labeled with its security property. Contrast with OpenClaw's flat architecture where everything runs on the user's machine.]**
+> **\[DIAGRAM: "The Winning Architecture" — a layered stack showing: Hosted Infrastructure (bottom) -> Sandboxed Containers (middle) -> Audited Skills + Minimal Permissions (upper) -> Clean Dashboard (top). Each layer labeled with its security property. Contrast with OpenClaw's flat architecture where everything runs on the user's machine.]**
 > *获胜的递归代理架构的样子。*
 
 ***
@@ -411,7 +411,7 @@ OpenClaw 可以演变成这样。基础已经存在。社区积极参与。团
 
 路线图很清晰：托管基础设施让用户无需管理服务器，沙盒化执行以控制损害范围，经过审计的技能市场让供应链攻击在到达用户前就被发现，以及透明的日志记录让每个人都能看到他们的智能体在做什么。这些都可以用已知技术解决。问题在于是否有人将其优先级置于增长速度之上。
 
-> 📸 **\[检查清单图示：将 5 点“如果你正在运行 OpenClaw”列表渲染为带有复选框的可视化检查清单，专为分享设计。]**
+> **\[检查清单图示：将 5 点“如果你正在运行 OpenClaw”列表渲染为带有复选框的可视化检查清单，专为分享设计。]**
 > *当前 OpenClaw 用户的最低安全清单。*
 
 ***