夜雨聆风最近写 OpenClaw 的文章,评论区被问最多的问题就一个:安全吗?
国家互联网应急中心前段时间发了风险提示,特别提到一个点:Skills 投毒风险。
这事儿不是吓唬人,是真真切切发生过很多次。
恶意 Skill 长什么样?
OpenClaw 官方仓库 ClawHub(https://clawhub.ai)之前清理过一个用户 hightower6eu。
这人发了 314 个 Skill,看着都挺正常——加密分析、金融追踪、自动更新……结果官方一查:全是恶意的,一个没跑掉。
套路很简单:
你装了这个 Skill 它背着你去陌生地址下载东西 直接在你电脑上执行
这跟当年的电脑病毒没什么两样。
装这个 Skill 之前,先过一道安检
我推荐所有用 OpenClaw 的朋友,先装一个 Skill:Skill Vetter。
地址:https://clawhub.ai/spclaudehome/skill-vetter
它的作用很简单:在你装任何 Skill 之前,先帮你审查一遍,出一份报告。
就像你电脑上的杀毒软件,或者公司 HR 入职前的背调。
实际用起来什么样?
举个例子,我让 Skill Vetter 审查一个叫 auto-updater 的 Skill。
结果:🟡 中风险
它会创建定时任务、自动更新、定期推送——本身没恶意,但权限要得有点多。
Skill Vetter 没直接帮我装,而是给了三个选项:
只装不启用自动更新 装但改成手动 先放着不动
选择权在你。
再比如 Desktop Control(桌面控制),Star 数不低。
Skill Vetter 评级:🔴 高风险
它能做的事太多了:
控制鼠标 模拟键盘 截图 读写剪贴板
不需要有恶意,光是有这个能力,就已经需要你想清楚再装了。
真正恶意的 Skill 什么样?
有个叫 coding-agent 的 Skill,不在官方仓库,而是在第三方镜像站 openclawskills.best。
页面做得很正经,Star 数 2.4k。
⚠️ 注意:官方网站只有一个:https://clawhub.ai很多镜像站都是恶意 Skill 的核心来源。
Skill Vetter 一扫:⛔ 极端风险,不建议安装
问题出在安装指令里有一段乱码。拆开一看:
让你的 OpenClaw 去一个陌生 IP 地址下载东西,然后直接执行。
那个 IP 一看就不是正经网站。至于下载完会发生什么,我就没继续试了——毕竟硬盘里还有不少学习资料,我怕被勒索。
Skill Vetter 怎么工作的?
它本身不跑任何代码、不联网、不动你的文件。就是纯审查。
第一步:看来源
作者是谁?有多少人用过?有没有更新?别人怎么评价? 官方 Skill 警惕度低,高星仓库中等,来历不明的新 Skill 最警惕
第二步:翻代码(最关键)
对照红线清单逐项排查:
向不明服务器发数据 要密钥和凭证 读 SSH/AWS 配置文件 base64 解码、eval/exec 执行外部输入 要 sudo 权限 访问浏览器 cookie - 偷 Agent 记忆文件
(MEMORY.md、USER.md、SOUL.md 等)
第三步:评估权限
它声称要做什么?实际需要什么权限? 权限和意图是否匹配?
最后给出风险等级:
- 🟢 低风险
:做笔记、查天气、格式处理 - 🟡 中风险
:文件操作、浏览器控制、调外部 API - 🔴 高风险
:涉及账号密码、交易操作、系统设置 - ⛔ 极端风险
:安全配置、root 权限
已经装了 Skill 的,建议扫一遍
Skill Vetter 还能帮你扫描现有 Skill,出一份完整的体检报告。
我建议你至少知道:
你装了哪些 Skill? 它们分别要什么权限? 哪些是低风险可以放心用,哪些需要谨慎?
别像十几年前装电脑软件那样,下一步下一步下一步,装完才发现多了全家桶和弹窗。
那个时代,最多是电脑卡一点。
但这个时代不一样。
你的 Agent 能读你的文件、能上网、能执行代码、能记住你说过的每一句话。
能力越大,风险越大。
最后
Agent 我推荐所有人用,因为这是必然的未来。
但希望大家能用得更久、更放心。
装 Skill 之前,先让 Skill Vetter 过一遍。
多一道安检,少一份风险。
Skill Vetter 地址:https://clawhub.ai/spclaudehome/skill-vetter