夜雨聆风大家好,我是微笑哥。
在上一篇文章《OpenClaw 龙虾完全卸载指南!》中,给大家讲了三个安全事故。
其中最重要的一块,就是 Skill 投毒,除了官网默认的 Skills,其他三方的 Skills 都有可能存在风险。
稍微解释一下,什么是 Skills 投毒
就是有人把带有恶意指令或后门逻辑的 Skill 插件混进 OpenClaw 的技能库里,一旦被安装或调用,AI Agent 在执行任务时就可能被诱导泄露数据、执行异常操作甚至被远程控制。
有什么预防 OpenClaw Skills 投毒 的 Skill 吗?
你还别说,还真有。
这个 Skill 叫做 Skill Vetter。
那什么又是 Skill Vetter 呢?一句话解释:
再简单一点理解:
它会在你安装 Skill 之前帮你检查几件事:
1️⃣来源是否可信检查作者、仓库、下载量、更新时间等。
2️⃣ 代码是否有恶意行为例如:
访问
~/.ssh、~/.aws等敏感文件向外部服务器发送数据
Base64 混淆代码
eval()/exec()动态执行代码
这些都会被标记为红旗。
3️⃣ 权限范围是否异常它会分析这个 Skill 是否申请了:
文件系统访问
网络请求
shell 命令执行
然后给出 LOW / MEDIUM / HIGH / EXTREME 风险评级。
4️⃣ 生成安全审查报告最后输出一个结构化报告,告诉你:
是否建议安装
哪些地方有风险
很多人把 Skill Vetter 当成第一道防线。
那怎么安装呢?
在 OpenClaw 终端里运行:
clawhub install skill-vetter安装成功怎么验证,终端运行:
openclaw skill listskill-vetter如果看到“skill-vetter”说明已经安装成功。
另外,我还写了一份 OpenClaw 的中文学习指南,里面包含了热门必装的 Skill ,以及如何全面学习使用 OpenClaw。
我创建了一个 OpenClaw 实操交流群,专门交流:
1、小龙虾怎么玩
2、可以做哪些自动化
3、有哪些赚钱思路
4、最新玩法案例
5、进群就送 OpenClaw 中文学习指南(已经写了上万字了,还在增加)
群 完全免费,但有一个规矩:禁止发广告,发广告直接永久拉黑。
如果你对 AI自动赚钱 / AI自动干活 / AI效率工具 感兴趣,可以进来一起研究。
进群方式:
① 添加下方微信
② 通过后回复:小龙虾
