你给AI装了一个”写作助手”技能。

AI开始帮你写文案、发邮件、管日程。很好，很高效。

但你不知道的是——这个技能在安装的瞬间，已经获得了你整个文件系统的读写权限、你的网络请求权限、你的环境变量访问权限。

它可以删你的文件，发你的邮件，转你的账。

你以为你在用AI。

实际上是无数个AI技能在操弄你的系统。

这个差距，就是AI时代最大的安全盲区。

01 AI技能时代，有一个致命问题

传统的软件有权限控制。你安装一个App，系统会问你：这个App要访问你的相册、位置、通讯录——你同意吗？

但AI技能的权限模型，完全不是一回事。

当你给Claude装一个”写作助手”Skill，这个Skill可以： – 读取和修改你电脑上的任意文件 – 发起任意网络请求，把数据发到任何服务器 – 访问你的环境变量，拿到所有API密钥 – 执行系统命令，绕过一切应用层限制

这些权限，不是bug——是AI技能正常工作的必要能力。

写作助手要读你的文档，所以需要文件系统权限。 发邮件技能要帮你发邮件，所以需要网络权限。 数据分析技能要调用API，所以需要环境变量权限。

问题是：你安装这个技能的时候，谁来审核它有没有恶意代码？

大多数人的做法是：看Star数、读README、相信平台。

这相当于：别人给你一个能开你家所有门的万能钥匙，然后你因为”看着挺靠谱”就收下了。

02 最近的安全漏洞，敲响了警钟

2026年4月15日，OpenClaw修复了一个严重漏洞（GHSA-f934-5rqf-xx47）。

这个漏洞的原理是这样的：QMD后台的memory_get路径接受任意工作区Markdown文件路径——也就是说，一个恶意的Skill可以利用这个漏洞读取你工作区里任意文件的内容，包括你存在内存里的API密钥、笔记、项目文档。

严重程度：MEDIUM。

但最可怕的是：这不是某个特定Skill的问题——这是Skill架构层面的设计缺陷。

只要有Skill利用这个路径，所有安装了这个Skill的用户都会被影响。

OpenClaw是相对谨慎的AI Agent平台，修复速度也很快。但问题是：那些来源不明的Skill，谁来审？

ClawdHub上有数千个Skill，来源各异，质量参差不齐。大多数用户安装Skill前根本没有安全审核意识——就像当年安卓用户随便装未知来源的APK一样。

那时候，手机病毒、木马、钓鱼App泛滥成灾。

今天的AI技能生态，正在重蹈这个覆辙。

03 Skill Vetter：给每个AI技能做安全体检

Skill Vetter（GitHub: ttttstc/skill-safety-verifier）是目前最完整的AI技能安全审核工具，ClawdHub上220,000次安装。

它的核心功能，是在你安装任何Skill之前，先给它做一次”全面体检”。

怎么体检？

第一步：代码模式扫描

Skill Vetter会扫描Skill的所有代码文件，检测危险代码模式。

这些都是不需要任何CVE漏洞就能利用的危险模式——只要Skill里写了这些代码，它就能做坏事。

第二步：GitHub Advisory API CVE查询

Skill通常依赖第三方库。Skill Vetter会检查这些依赖是否有已知的安全漏洞。

这一步很重要：Skill本身的代码没问题，但如果它依赖的某个库有CVE漏洞，攻击者可以通过这个漏洞渗透进来。

第三步：权限分析

Skill Vetter会分析Skill配置文件里的权限声明，结合代码扫描结果，给出一个综合风险评分。

最终输出：五级风险判定

✅ SAFE      (0-10分)   → 安全，直接安装使用 

⚠️ LOW       (11-30分)  → 基本安全，使用时稍加注意 

⚠️ MEDIUM    (31-60分)  → 建议先读代码再安装 

🚫 HIGH      (61-100分) → 不要安装 

🚫 CRITICAL  (>100分)   → 立即停止，不要犹豫 

每个Skill会得到一个Risk Radar（风险雷达图），从三个维度打分：

Network（网络）：这个Skill有没有网络请求？请求目的是什么？有没有可疑的外部通信？

Vulnerability（漏洞）：这个Skill依赖的库有没有已知CVE？

Permissions（权限）：这个Skill申请了哪些系统权限？有没有超出它声称功能的权限申请？

三个维度加权平均，得出总分和风险等级。

04 真实案例：一个”免费VPN加速器”Skill

假设你在ClawdHub上看到一个Skill，描述是：

> “一键优化网络速度，提升VPN连接稳定性”

看起来很合理，对吧？

用Skill Vetter一扫，结果：

⚠️ free-vpn-booster - Risk Assessment 
Risk Radar:   
Network      [████████░░] 40/50  🟠   
Vulnerabil.  [██░░░░░░░░] 10/25  🟢   
Permissions  [██████████] 50/50  🔴   
TOTAL        [████████░░] 100/100 🔴
🚫 Recommendation: Do NOT install 

– Network 40/50：这个Skill有大量网络请求，而且目的不明 – Permissions 50/50：它申请的权限远超”优化VPN”所需——它在申请文件系统完整访问权限 – 总分 100/100，CRITICAL

进一步扫描代码发现，这个Skill的exec()调用会执行一串base64编码的命令——解码之后，是一个键盘记录器和数据回传脚本。

你的VPN没变快，但你的键盘记录已经被悄悄传走了。

这不是虚构的案例。这是Skill Vetter在公开社区扫描时发现的真实威胁。

05 为什么220,000人在用

Skill Vetter的安装量说明一件事：有人已经在认真对待AI技能的安全问题了。

AI Agent的生态正在快速成熟。Manus被Meta收购、Claude Code/ Cursor/GitHub Copilot的Skill生态蓬勃发展——AI Agent不再只是”聊天”，而是开始真正操控文件系统、邮件系统、日历、财务工具。

当AI开始替你做事，AI技能的安全问题就不再是”理论风险”。

它是现实风险。

今天已经有的人在用AI编程工具帮自己写代码——而这些编程工具本质上就是一个拥有文件系统完整权限的AI Agent。如果有人发布了一个恶意的编程Skill，里面藏了一个rm -rf /或者数据回传脚本，损失是不可估量的。

Skill Vetter的价值在于：它把这个安全审核流程自动化了。

以前你得手动读代码、看权限申请、分析网络请求——现在一个命令就出结果。

06 怎么用

安装一个Skill之前，先用Skill Vetter扫描：

# 安装 git clone https://github.com/ttttstc/skill-safety-verifier.git cd skill-safety-verifier pip install -e . 
扫描你想安装的Skill目录
 skill-safety-check /path/to/skill 

如果是ClawdHub上的Skill，也可以直接通过CLI添加时验证：

npx skills add  --verify 

输出是JSON格式，方便集成到CI/CD流程里：

from analyzer import analyze_skill result = analyze_skill('/path/to/skill') print(result['scores']) 
{'network': 0, 'vuln': 0, 'permission': 25, 'total': 25}

07 AI安全观：一个新赛道的开始

Skill Vetter只是AI Agent安全赛道的起点。

当AI技能越来越多、权限越来越大，安全问题会越来越严重。可以预见：

第一层：技能审核工具（Skill Vetter做的事） – 代码扫描、CVE检测、权限分析 – 自动化风险评估

第二层：技能沙箱化 – 即使是恶意的Skill，也让它在受限环境里运行 – 文件系统、网络、命令执行全部隔离

第三层：技能签名与溯源 – 谁能发布Skill？发布后谁来签名认证？ – 类似HTTPS证书体系，Skill发行也需要可信认证

这条路刚刚开始。Skill Vetter是第一个把这件事做成开源工具的，但它的思路会成为行业标准。

未来，每个AI技能在安装前，都需要通过安全审核。

就像今天软件安装前的杀毒软件提示一样——你会觉得麻烦，但你会感谢它的存在。

GitHub：ttttstc/skill-safety-verifier   

安装量：220,000+（ClawdHub）   

检测能力：exec/eval/subprocess危险代码 + GitHub CVE库 + 权限分析   

风险等级：SAFE / LOW / MEDIUM / HIGH / CRITICAL 五级判定