OpenClaw Skills 完全入门|ClawHub 技能市场详解 + 安全选型三大原则

本系列第十四篇：给“龙虾”装上“虾钳”——理解 Skill 的工作方式，安全地从数万技能中挑出最适合的那一个

欢迎回到 OpenClaw 系列教程。经过前面十三篇的沉淀，你已经完成了从环境搭建到模型配置的全过程。你的“龙虾”已经在你的电脑或云端安了家。

但有一个问题开始浮现：它似乎什么都想试着干，但又好像什么都不是特别稳。你想让它帮你总结一下微信公众号的文章，它抓回来的只有一段“继续滑动看下一个”——因为简单的 web_fetch 无法穿透微信的三层防御机制。你想让它帮你整理当天的新闻，它说“我没有联网搜索能力”。

这就是很多用户安装完 OpenClaw 之后的真实感受：框架跑起来了，但真正想干的事，还差一口气。

这口气，就是 Skills。

本文将系统讲解 OpenClaw Skills 的核心概念、ClawHub 技能市场的现状与规模，以及安全选型的三大原则。读完本文，你将能够正确认识 Skill 的本质，并安全地从 ClawHub 数万技能中找到适合你的那一款。

📖 系列导航：本文聚焦于“理解 Skill 是什么、有哪些、怎么选安全”。关于 Skill 的具体安装命令和使用方法，已在第 6-9 篇的部署教程中穿插介绍，本文将不再重复；关于 Skill 的开发与创建，将在第 16 篇详细展开。

一、Skill 的本质：一份“会思考的执行说明书”

1.1 为什么 Agent 需要 Skill？

先问一个更根本的问题：为什么有了大模型之后，还需要 Skill？

如果你已经用过 OpenClaw 一段时间，应该能感受到：大模型虽然“什么都会一点”，但在面对具体任务时却“什么都不稳”。比如你让它帮你总结一篇微信公众号文章，它可能会直接用 web_fetch 去抓——但微信文章有三层防御：Cookie 鉴权、动态 JS 渲染、反爬策略，简单的 HTTP 请求根本无法穿透。这不是模型能力的问题，而是它缺乏针对具体场景的方法论。

Skill 的价值就在这里。它不是给模型喂更多的提示词，而是把特定场景下的最佳实践封装成一个可被调用的“能力单元”。一个微信文章抓取的 Skill 会告诉模型：先通过特定方式获取有效的 wap_sid2 Cookie，再用 Puppeteer 渲染 JS 环境，最后提取正文。模型不需要重新思考“怎么抓微信公众号文章”，它只需要知道“遇到微信公众号链接，调用这个 Skill”。

OpenClaw 官方文档对 Skill 的精确定义是：Skill 会教智能体如何以及何时使用工具。每个 skill 都是一个目录，其中包含一个带有 YAML frontmatter 和 Markdown 说明的 SKILL.md 文件。

1.2 Skill vs 传统 Prompt：一次根本性的能力跃迁

传统 System Prompt 和 OpenClaw Skill 的差异，远不止“工具更多”这么简单。下表从多个维度做了系统对比：

核心差异在于 渐进式披露。Skill 的加载被拆成了三个阶段：系统启动时只读取极简的能力索引，用于判断“哪些 Skill 可能有用”；当用户的输入匹配到某个场景时，才加载对应 Skill 的完整定义；真正执行时，才引入具体的上下文、参数和中间结果。

这种设计的工程价值非常直接：Agent 启动更快，Token 成本更低，更重要的是——工具选择的准确率明显提升。模型不再是在一堆工具中“猜”，而是在少量、强相关的能力中“选”。

二、Skill 的物理存在：一个目录 + 一个 SKILL.md

2.1 Skill 的文件结构

在理解了 Skill 的“思想”之后，我们来看看它的“肉身”。

一个 Skill 就是一个文件夹，里面至少包含一个 SKILL.md 文件。这个文件夹可以放在三个位置之一：内置目录（OpenClaw 系统自带的技能）、用户目录（~/.openclaw/skills/，全局生效）、工作区目录（<workspace>/skills/，仅当前 Agent 生效），其中工作区目录的优先级最高。

OpenClaw 从 <workspace>/skills 加载工作区 Skills，并会在下一个会话中生效。工作区 Skills 的优先级高于内置和用户目录的 Skills。

SKILL.md 文件采用 YAML frontmatter + Markdown 的格式，至少包含以下五部分内容：

• 描述信息：清晰概述 Skill 的功能和用途

• 触发器：用户输入的哪些关键词会激活这个 Skill

• 使用说明：详细的执行步骤，指导 AI 如何完成任务

• 环境变量：Skill 运行时需要的外部配置

• 所需工具：Skill 依赖的基础工具（如 file_write、memory_search 等）

2.2 一个真实的 Skill 示例

以“微信公众号文章抓取”Skill 为例，它的 SKILL.md 可能包含这样的内容：

markdown

---description: 抓取微信公众号文章正文，绕过反爬机制trigger: 用户提供微信公众号文章链接tools: puppeteer, cookie_manager, extractorenv_vars: WECHAT_COOKIE_PATH---## 执行步骤1. 检查本地是否缓存了有效的 wap_sid2 Cookie2. 若无或已过期，通过特定方式获取新 Cookie3. 启动 Puppeteer 浏览器实例，设置真实 User-Agent4. 注入 Cookie 后访问文章链接5. 等待页面完全加载，提取文章正文内容6. 清理浏览器实例，返回提取结果

当用户丢过来一条微信公众号文章链接时，OpenClaw 的 Agent 会发现自己的工具包里有一个“微信文章抓取”Skill，然后按这份说明书一步步执行，而不是盲目地用 web_fetch 去撞墙。

三、ClawHub：官方的 Skill 集市

3.1 市场概况

ClawHub 是 OpenClaw 的官方公共 Skills 注册中心，所有人可以免费查看、共享和复用 Skills。目前官方统计显示 ClawHub 拥有 13,729 个注册技能，其中约 5,494 个经过筛选属于高质量技能。若计入 GitHub 社区 Skills、Claude Skills 等关联生态，整个 Skill 生态已达到 万级规模。

这一市场的问题，不是供给不足，而是大部分供给没有穿过“安装”这道门。根据 2026 年 3 月 24 日的一份 Clawhub 数据快照（样本共 33,760 个技能），总下载次数超过 2,300 万次，但实际安装次数不到 20 万次——大量技能被浏览、被下载，却从未被用户真正安装到自己的工作区中使用。这意味着，面对数万个技能，用户普遍存在“选择焦虑”：不知道该装哪个，也不知道装完会不会出问题。

3.2 国内镜像站

针对国内用户访问海外市场速度慢、中文搜索体验不佳的问题，ClawHub 于 2026 年 4 月正式推出了中国官方镜像站点，地址为 https://mirror-cn.clawhub.com，旨在提升中国地区用户访问和使用技能库的体验。推荐中国用户优先使用镜像站进行技能查找和安装。

3.3 ClawHub 的搜索与分类能力

ClawHub 支持基于嵌入向量的语义搜索（而非简单的关键词匹配），同时支持星标、评论等社区反馈机制。从类别分布看，当前 ClawHub 上最容易成活的技能类别是：开发/编程、办公/文档、搜索/研究、浏览器自动化。它们的共同特征是——输入明确、输出明确、结果可验证、离现有工作流近。换句话说，用户优先安装的不是“最炫酷”的技能，而是“最能直接缩短原有工作流”的技能。

四、安全选型三大原则

4.1 为什么安全是 Skill 选型的头等大事

Skill 生态和浏览器插件生态非常相似。插件生态发展到一定规模后，一定会遇到一个问题：恶意插件。

2026 年初，OpenClaw 的技能市场 ClawHub 被曝出 1,184 个恶意技能包，堪称 AI Agent 时代的 npm 供应链攻击。攻击者仅凭一个注册满一周的 GitHub 账号即可发布技能，无需安全审查。有个恶意账号狂传 314 个恶意包，累计被下载近 7,000 次，窃取 SSH 私钥、加密货币钱包、浏览器密码，并可开启反向 Shell。更隐蔽的是，CVE-2026-25253 高危漏洞暴露后，一个排在 ClawHub 搜索第一位的社区技能通过 4,000 个假下载刷到榜首，经扫描发现 9 个漏洞（其中 2 个为高危），实际通过 curl 静默外泄用户数据。

恶意 Skill 能干的事包括但不限于：读取环境变量、获取 API Key、访问本地文件、执行系统命令。一旦安装，就拥有和你本地 OpenClaw 实例相同的权限——可以访问你的邮件、日历、消息和文件系统。

更棘手的是，有些恶意 Skill 不是装完立刻发作，而是等几周后再激活指令。现在的防护系统对这种延迟攻击基本无能为力。全球范围已发现 20,471 个 OpenClaw 实例可能存在安全漏洞，覆盖 13,643 个 IP 地址，接近 9% 暴露在互联网的 OpenClaw 资产存在漏洞风险。

4.2 原则一：优先选择 Security Scan 为绿色的技能

许多 Skill 市场（包括 ClawHub）已经引入了安全评级机制，将技能标记为 SAFE / CAUTION / DANGEROUS 三个等级。Security Scan 为绿色的技能，意味着经过了基础的安全扫描，未发现明显的恶意行为或越权操作。

在 ClawHub 的 Web 界面中查找技能时，优先查看其安全评级标签，只选择评级为绿色的技能。

4.3 原则二：安装前审查 SKILL.md

任何时候不要盲目安装 ClawHub 上的 Skill。建议在安装前查看技能的 SKILL.md 文件，确认其中没有可疑的指令，特别是任何要求额外安装 helper 或 agent 的内容需要高度警惕。

通过命令行安装时，ClawHub 提供了安全扫描机制（clawhub install --scan 选项），会在安装前对 Skill 进行安全检测。

一个简洁但有效的筛选方法是 “100 / 3 原则” ：只安装下载量 > 100、发布时间 > 3 个月的技能。这是社区验证过的最简单有效的筛选方式，能过滤掉绝大部分垃圾和恶意技能。

4.4 原则三：使用开源安全工具定期扫描

除了在安装时做筛选，还需要定期对已安装的 Skills 进行安全扫描。社区已推出开源安全工具 SecureClaw，可以扫描已安装的 Skills 检查恶意内容。虽然不能 100% 防护，但能拦住已知的攻击模式。

bash

# 安装 SecureClawnpm install -g secureclaw# 扫描已安装的 skillssecureclaw scan ~/.openclaw/skills/# 同时，定期检查 SOUL.md 和 MEMORY.md 是否被异常修改

4.5 官方安全建议汇总

结合工信部网络安全威胁和漏洞信息共享平台发布的防范 OpenClaw 安全风险的“六要六不要”建议，以下是 Skill 选型和使用的安全要点：

• 要 从可信来源安装技能（优先使用 ClawHub 精选技能或 GitHub 高星项目）

• 要 在安装前审查 SKILL.md 中的权限声明

• 要 定期运行安全扫描工具

• 要 在沙箱环境中运行高风险技能（使用 Docker 隔离）

• 不要 安装要求“下载 ZIP”“执行 shell 脚本”或“输入密码”的技能包

• 不要 以 root/管理员权限运行 OpenClaw

• 不要 一次性安装大量未经审查的技能

五、新手推荐安装的 5 个基础技能

以下 5 个技能是社区广泛验证、下载量高、安全评级良好的基础技能，适合刚入门的新手优先安装。这些技能在 ClawHub 官网或镜像站均可搜索到。

1. skill-vetter
2. tavily-search
3. find-skills
4. gog
5. summarize

skill-vetter

安全扫描技能，用于审查其他技能的代码安全性，检查网络请求、文件访问和 shell 执行。这是安装任何其他技能之前应该先装的“守门员”。

tavily-search

联网搜索技能，提供实时网络搜索能力。Tavily 专门针对 AI Agent 场景优化了搜索结果的简洁性和结构化程度。

find-skills

技能发现技能，当你告诉 OpenClaw“我需要完成某件事”，它能自动在 ClawHub 中搜索相关技能并推荐安装。极大降低了“不知道装什么”的困扰。

gog

浏览器自动化技能，基于 Go 语言的高性能浏览器控制模块，适合网页抓取、表单填写、截图等任务。

summarize

文档总结技能，能够自动提取长文本、PDF、网页的核心内容并生成摘要，是处理信息过载场景的基础能力。

📖 关于这 5 个技能的详细安装命令、验证方法和使用场景，第 15 篇会有更系统的讲解，包括完整的安装步骤、参数配置和实战案例，本文不再重复。

六、总结

Skill 不是一种可选的“锦上添花”，而是让 OpenClaw 从“能听懂”升级为“能做事”的必经之路。正如 OpenClaw 的核心设计理念——核心框架+技能扩展——基础安装只包含任务调度和通信通道等底层功能，缺乏具体的业务执行能力，必须通过安装 Skills 才能激活其全量能力。

最后，分享一个观点：Skill 不是越多越好，而是越“险”越要命。与其追求数量，不如先装好安全技能，建立筛选机制，然后按需添加。一个拥有 10 个精选技能的 OpenClaw，远比一个装了 50 个来路不明技能的 OpenClaw 更可靠、更高效。

下一篇预告：第 15 篇《OpenClaw 新手必装 10 大核心技能》——从安全打底到生产力提升，分阶段推荐 10 个最值得装的技能，附完整安装命令和验证方法。

索引标签：#OpenClaw #Skills #ClawHub #技能系统 #安全选型 #AI智能体