314个Skills全是恶意！我用这个工具躲过一劫

说实话，最近这段时间，我都不敢轻易给大家推荐OpenClaw的新Skill了。

为啥？因为评论区老有人在问同一个问题：这东西安全吗？

直接说吧，安全问题，真的不是你杞人忧天。国家互联网应急中心都专门发了一篇《关于OpenClaw安全应用的风险提示》，点名的就是Skill投毒风险。

这真不是吓唬你。OpenClaw官方自己就公开过，有人发了314个Skills，看着都挺正常——加密分析、金融追踪、社交媒体分析、自动更新，什么都有，还挺活跃。

结果呢？官方挨个检查完，314个，全是恶意的，一个干净的都没有。

这些Skill的套路特别统一：装完之后，让你的小龙虾偷偷去一个陌生地址下载东西，然后直接在你电脑上执行。说是帮你做初始设置，但下载的是什么？鬼知道。

这种行为，说白了就跟多年前的电脑病毒一模一样。

所以今天这篇，我想给你们安利一个我觉得必装的Skill——Skill Vetter。

为什么我说这是保命神器？

Skill Vetter 的作用特别简单：在你装任何Skill之前，先帮你审查一遍，出一份报告，告诉你这东西能不能装。

有点像你电脑上的杀毒软件，或者手机上的安全管家。

很多人有个误区，觉得下载量大就安全。我得纠正一下：下载量大 ≠ 非恶意。这个等式从来不成立。

所以，装之前审一遍，绝对有必要。

怎么用？

我还是推荐从ClawHub官方渠道装，方便管理：

 帮我安装这个Skill：https://clawhub.ai/spclaudehome/skill-vetter 

就一句话，你的Agent自己会去下载。

装完之后，你可以跟OpenClaw说：以后所有Skill安装，都强制用Skill Vetter审查一遍，没问题才装。

我给大家演示一下。我找了个叫 auto-updater 的Skill，让它先审：

 帮我下载这个Skill，用Skill Vetter先审查 

过了一会儿，报告出来了：🟡 中风险。

原因是它会在后台创建定时任务、自动更新、定期推送消息。本身可能没恶意，但要的权限有点多。

Skill Vetter 没直接给我装，而是给了三个选项：只装不启用自动更新、改成手动方案、或者放着不动。选择权在我。

再看一个例子。ClawHub上有个桌面控制Skill叫Desktop Control，star数不低，但Skill Vetter给它的结论是🔴 高风险。

因为它能控制鼠标、模拟键盘、截图、读写剪贴板。这些能力，比OpenClaw本身的安全风险都大。不需要有恶意，光是有这个能力，你就得想清楚再装。

以前没有Skill Vetter，你可能直接就装了。现在至少有东西帮你拦一道。

真正恶意的长什么样？

上面说的两个，都是”风险大但意图正常”的Skill。

我再给你看个真正有恶意的。

有个叫 coding-agent 的Skill，不在ClawHub官方仓库，而是在一个第三方镜像站 openclawSkills.best 上。页面做得很正经，star数2.4k，看着像官方的。

但这才是最大的陷阱。

ClawHub官方地址只有一个：https://clawhub.ai/

其他镜像站，很多都是恶意Skill的核心来源。

我让Skill Vetter扫了一下这个 coding-agent。

结论：⛔ 极端风险，不建议安装。

原因是它的安装指令里有一段完全看不懂的乱码。正常的Skill不需要这么干，直接写就行，没有理由藏东西。

那段乱码拆开后，是一条离谱的命令：让你的小龙虾去一个陌生IP下载东西，下载完直接运行。

那个地址我查了下，纯数字IP，一看就不是正经网站。

至于下载完你的电脑会变成什么样，我就没继续试了。毕竟我硬盘里还有很多…学习资料，怕被勒索。

Skill Vetter是怎么工作的？

这个Skill本身很简单，纯指令型，不跑代码、不联网、不动你文件。

有点像你公司的HR，新人入职前先背调一圈，看看简历有没有造假，目的是不是单纯。

它的机制分三步：

第一步，看来源。

作者是谁？有没有人用过？多少人用过？最近更新没？有没有人评价过？

背后是一套信任层级：官方Skill警惕度低，高星仓库中等，来历不明的新Skill最警惕。

毕竟，信任是需要时间积累的。一个昨天刚传上来、从来没人用过的Skill，和一个用了两年、几万人装过的，风险完全不在一个量级。

第二步，翻代码。

这是最关键的一步。它会通读Skill的所有文件，对照一张”红线清单”逐项排查。

这张清单包括十几种危险模式：向不明服务器发数据、要你的密钥凭证、读取SSH/AWS配置、用base64藏代码、用eval/exec执行外部输入、要sudo权限、访问浏览器Cookie…

还有一个很多人没注意的：偷Agent的记忆文件。

包括OpenClaw在内的产品，能记住你是谁，靠的是记忆文件（MEMORY.md、USER.md这些）。里面存了你很多隐私信息。现在有些恶意Skill，直接强制读取这些文件。

这招挺隐蔽的，但危害很大。

第三步，评估权限范围。

过了红线检查后，再看这个Skill需要什么权限：读哪些文件、写哪些文件、跑什么命令、连不联网、连去哪里。

然后根据它声称的功能，判断这些权限是不是最小且够用的。

比如一个查天气的Skill要读你的SSH密钥，明显超范围，绝对不怀好意。

风险等级怎么看？

所有检查做完，Skill Vetter会给一个风险评级：

• 🟢 低风险：做笔记、查天气、格式处理，日常用的基本都是这个
• 🟡 中风险：文件操作、浏览器控制、调外部API，需要留意
• 🔴 高风险：涉及账号密码、交易操作、系统设置，得想清楚
• ⛔ 极端风险：安全配置、root权限，普通人建议直接pass

日常工作里，大多数Skill是绿色的，放心用。但一旦涉及登录状态、API Key，就得认真对待。

实在想装的高风险Skill，建议先去问ChatGPT、Claude，或者找个靠谱的朋友问问。

扫一遍你已有的Skill

装完Skill Vetter，你还可以让它帮你把现在装的所有Skill都扫一遍。

我就这么干了。结果出来一份报告，高风险候选里它点名了几个。不是说这几个一定是恶意的，但它们的权限范围都很大，涉及登录状态、浏览器、密码管理器。

建议就是：可以保留，但谨慎使用。

至少你得知道，你装的那些Skill，是干啥的。

我见过太多人，装Skill的时候完全不看，点一下就装了。就像十几年前装电脑软件，下一步下一步下一步，全默认，装完发现多了一堆全家桶和弹窗广告。

那个时代，最多是电脑卡一点，或者总是见到”是兄弟你就来砍我”的弹窗。

但这个时代不一样。

你的Agent能读你的文件，能上网，能执行代码，能记住你说过的每一句话。

能力越大，责任越大，被滥用的风险就越大。

Agent我推荐所有人用，因为这是必然的未来。但我也希望大家能用得更久，用得更放心。

这个时代刚刚开始，我们还有很长的路要走。

以上。

既然看到这里了，如果觉得不错，随手点个赞、在看、转发三连吧。如果想第一时间收到推送，也可以给我个星标⭐～

谢谢你看我的文章，我们，下次再见。