为了安全,OpenClaw必装的神器!

国家互联网应急中心也已介入，于2026年3月10日发布官方安全预警《关于OpenClaw安全应用的风险提示》，披露OpenClaw存在的高危安全风险。

该提示指出，OpenClaw因默认配置脆弱、权限控制不足，易导致系统被远程接管、敏感数据泄露等问题。风险包括提示词注入漏洞、恶意插件投毒（如伪装的加密分析、金融追踪插件）、以及公开曝出的80余个安全漏洞。并建议用户采取隔离部署、禁用自动更新、从可信渠道安装插件等防护措施，并及时更新补丁。

风险提示中，特别提到：

插件投毒？这真不是危言耸听，实际已发生过很多次了，OpenClaw官方也公开了多个被举报为恶意的Skill，风险真真的存在！

但对于想吃龙虾的人，风险即使存在，也是会冒险去使用的！

那除了只去OpenClaw官方的Skills商店ClawHub下载插件：

https://clawhub.ai/

作为普通用户，使用了OpenClaw，还有没有可以降低风险的办法呢？

还真有！

为了安全，元哥向大家推荐一款OpenClaw必装的神器：skill-vetter

https://clawhub.ai/spclaudehome/skill-vetter

Skill Vetter是一款用于Agent（如OpenClaw）的安全审查工具，能帮助用户在安装第三方技能前检测潜在风险，并给出安装指导。它通过四步流程审查技能：来源验证、代码扫描、权限评估和风险分级（低/中/高/极高）。Skill Vetter会检查20+危险行为，如访问敏感文件或执行外部代码，能有效防止恶意Skill窃取SSH密钥或加密资产。扫描后，还会给出不同的安装建议，你根据情况选择安装方式，或者不再安装。

元哥提醒：尽量不要安装风险高的插件。

特别是Skill-Vetter给出的结论是🔴HIGH，这种高风险插件千万不要碰，只有这样才可以有效避免造成重大损失。

怎样安装使用？很简单，Skill-Vetter就是一个Skill

skill-vetter的安装命令为：

npx clawhub@latest install skill-vetter

你先运行上面命令安装Skill-Vetter，然后再通过它审核其他Skill，来确保安装的Skill安全。

这个Skill-Vetter不仅是适用于OpenClaw，其他Agent软件都一样支持的，如Claude code、Codex、OpenCode等等。

不想手动安装，也可以直接发指令让Agent为你安装：

帮我安装这个Skill：https://clawhub.ai/spclaudehome/skill-vetter

安装好后，Skill-Vetter就可以使用了。

接着，你可以跟你的OpenClaw说，以后安装任何Skill，都强制使用Skill-vetter审查一遍，没问题了才能安装，并写到记忆。

那Skill-Vetter看起来似电脑的杀毒软件，那有没有什么风险？

放心！

Skill Vetter是一个纯指令型的Skill，它自己不会跑任何代码，不联网，不动你的文件。它只是按指令去检查要安装的Skill，再给出相应的风险提示，所以不用担心它有什么副作用，可以放心安装的。

OpenClaw权限太高了，Agent能读你的文件，能联网，能执行代码…万一被滥用，风险就太大了。

安全无小事，还没有安装的，要抓紧时间，安装起来了！

好了，文章这写到这里，

如果觉得内容不错，随手点个赞、在看、转发

如果想第一时间收到推送，也可以给我个星标⭐，谢谢。