夜雨聆风最近OpenClaw(小龙虾)的热度不减,3月14日,腾讯云宣布“龙虾”全国巡装启动,未来40天,技术专家将走遍17城,免费提供OpenClaw安装调试。不仅管部署、配置,连卸载清理都管。同步还有“高校龙虾专列”进校园科普。
OpenClaw(小龙虾)的强大在于有skill的加持,但也同时因高系统权限成为安全重灾区,功能插件(Skills)投毒是核心风险,恶意插件会窃取密钥、部署后门,且常伪装在官方商店 ClawHub 或第三方镜像站,即便是高下载量插件也可能存在风险,国家互联网应急中心也已发布相关风险提示。
ClawHub 是 OpenClaw 的公共 Skills 注册中心。它是一项免费服务,所有 Skills 都是公开的、开放的,所有人都可以查看、共享和复用。
网址:https://clawhub.ai/
截至今天,上面已经有2万3千多个skill。
Skill Vetter 是 OpenClaw 必备的安全防护 Skill,能在安装各类插件前完成安全审查,规避恶意风险,以下是其安装与使用方法,全程简单易操作。
一、简单介绍skill的相关文件
先简单说说小龙虾的skill,从clawhub.ai安装的skill一般会保存在工作空间文件夹。
C:\Users\你的用户名\.openclaw\workspace\skills
比如我们今天的主角:skill-vetter,它有2文件和一个文件夹。
_meta.json和SKILL.md是从clawhub.ai下载的,而.clawhub是安装时创建的信息文件夹,里面只有一个文件origin.json,记录来源、名称、版本号和安装时间。
安装时,同时会修锁文件,这个是更新skill的必须文件。
C:\Users\你的用户名\.openclaw\workspace\.clawhub\lock.json{"version": 1,"skills": {"skill-vetter": {"version": "1.0.0","installedAt": 1773454264205}}}
还有同时会修改配置文件openclaw.json。
{//......."skills": {"entries": {"skill-vetter": {"enabled": true}}},//.......}
我大约安装了7个技能,自己创建了2个,共9个技能。
二、安装skill-vetter
第一步,安装前需要先安装clawhub。
npm i -g clawhub# 或者pnpm add -g clawhub
第二步,安装skill-vetter。
网址:https://clawhub.ai/spclaudehome/skill-vetter
安装方式比较简单,可以给小龙虾发送这条信息。
帮我安装这个技能:https://clawhub.ai/spclaudehome/skill-vetter也可以用下面命令。
# clawhub install <slug>clawhub install skill-vetter
这样就安装好了。
三、使用方法
1.安装后,安装任意新 Skill 前,向 OpenClaw 发送包含审查指令 + Skill 链接的内容,即可触发 Skill Vetter 自动审查,示例:
帮我下载这个Skill,用Skill Vetter先审查,Skill链接:https://clawhub.ai/maximeprades/auto-updater审查完成后,Skill Vetter 会给出风险等级(低🟢/ 中🟡/ 高🔴/ 极端⛔)、风险原因,并提供操作选项(仅下载 / 仅安装 / 安装并调整配置等),可根据自身风险偏好选择。
帮我用skill vetter 检查一下我所有安装过的skill,即可对现有全部 Skills 进行安全筛查,生成审计报告,报告将标注重复插件、高权限 / 高风险插件,并给出清理、保留建议。
四、核心审查逻辑(快速判断插件风险)
Skill Vetter 通过三步完成审查,最终判定风险等级,普通用户可参考此逻辑快速避坑:
五、重要避坑提醒
五、重要避坑提醒
参考资料:
官网:https://clawhub.ai/spclaudehome/skill-vetter
文档:https://docs.openclaw.ai/zh-CN
以上,既然看到这里了,如果觉得不错,随手点个赞、在看、转发三连吧,如果想第一时间收到推送,也可以给我个星标⭐~谢谢你看我的文章,我们,下次再见。
我的Openclaw教程