夜雨聆风
一、什么是 Skill?为什么要装?
如果把 OpenClaw(小龙虾)比作一部手机,那 Skill 就是手机上的 App。
OpenClaw 本身是一个 AI Agent 框架——它能对话、执行命令、管理文件。但它具体能做什么,取决于你装了哪些 Skill。
比如:
装了 Browser Skill→ 它能帮你搜索网页、抓取信息 装了 Memory Skill→ 它能记住你的偏好,跨会话保持记忆 装了 Code Skill→ 它能帮你写代码、做项目
ClawHub 是 OpenClaw 的官方技能商店,类似 App Store。目前上面有 13,000+个公开技能,涵盖编程、自动化、搜索、设计等 32 个类别。
网址:https://clawhub.ai/
二、安装前的准备
1. 安装 ClawHub CLI
Skill 的安装需要通过 ClawHub 命令行工具(CLI)完成。打开终端,执行:
npm i -g clawhub如果你用的是 pnpm:
pnpm add -g clawhub💡 前提:你的电脑需要先安装 Node.js(https://nodejs.org)。如果还没装,先装 Node.js。
2. 验证安装成功
clawhub --version能看到版本号就说明安装成功了。
三、搜索 Skill
在安装之前,先搜一搜你想找的功能:
clawhub search "browser automation"你也可以直接去 ClawHub 网站上浏览:https://clawhub.ai/skills
推荐的筛选技巧
在 ClawHub 网站上,使用以下参数可以只显示通过安全检测的技能:
https://clawhub.ai/skills?sort=stars&nonSuspicious=true&dir=descsort=stars:按星标数排序nonSuspicious=true:排除有安全疑虑的技能dir=desc:从高到低排列
四、安装 Skill
找到想要的 Skill 后,安装非常简单:
clawhub install <skill-slug>比如安装 memory 技能:
clawhub install agent-memorySkill 安装到哪里?
CLI 默认会将 Skill 安装到当前目录的 ./skills文件夹下。如果当前目录是 OpenClaw 工作区,会自动安装到工作区的 skills 目录。
Skill 加载优先级(高 → 低):
工作区 skills: <workspace>/skills/← 最高优先级用户 skills: ~/.openclaw/skills/内置 skills:随 OpenClaw 安装包自带
高优先级的同名 Skill 会覆盖低优先级的。所以你可以把任何 Skill Fork 到工作区做自定义修改。
安装后生效
安装完成后,需要重启 OpenClaw 会话才能加载新的 Skill。
常用管理命令
# 查看已安装的 Skillsclawhub list# 更新某个 Skillclawhub update agent-memory# 更新所有 Skillsclawhub update --all# 安装指定版本clawhub install agent-memory --version 1.0.0# 强制覆盖安装clawhub install agent-memory --force五、最简单的方式:直接跟 OpenClaw 说
如果你不想敲命令行,可以直接在对话中告诉你的 OpenClaw:
"帮我安装这个 Skill:https://clawhub.ai/xxx/xxx"
OpenClaw 会自动帮你完成下载和安装。
六、⚠️ 安全第一:安装前必须审查
这是最重要的部分。
真实的安全事件
2025 年末至 2026 年初,ClawHub 发生了一起大规模供应链投毒事件(被称为 "ClawHavoc")。安全公司 Koi Security 发现了 341-1184 个恶意 Skills,感染率约 12%。
其中一个用户 hightower6eu发布了 314 个 Skill——全是恶意的,一个无害的都没有。它们伪装成加密分析、金融追踪、社交媒体分析等正常工具,安装后会:
让你的 OpenClaw 去一个陌生服务器下载文件 直接在你的电脑上执行下载的内容 你完全不知道下载了什么
还有的恶意 Skill 会读取你的记忆文件(MEMORY.md、USER.md、SOUL.md),窃取你跟 AI 助手的所有私密对话。
安装前的安全检查清单
在安装任何Skill 之前,务必做以下检查:
✅ 1. 确认来源是官方站点
官方网站只有:https://clawhub.ai/ 警惕镜像站(如 openclawSkills.best等仿冒站点)镜像站是恶意 Skill 的核心来源
✅ 2. 查看安全扫描结果
在 ClawHub 页面上确认 Security Scan标签为绿色(Benign) 查看 VirusTotal 扫描结果
✅ 3. 检查作者和下载量
优先选择高星标、高安装量的 Skill 新注册、零评价的 Skill 要格外警惕 下载量大 ≠ 安全,但仍是一个参考指标
✅ 4. 阅读 SKILL.md 源码
正常的 Skill 代码是可读的、透明的 如果看到 base64 编码、eval/exec、加密内容 → 立即放弃 检查是否有可疑的"前置条件"或"初始化步骤"
✅ 5. 使用安全审查工具
强烈建议安装 Skill Vetter——这是一个安全审查 Skill,会在安装前自动帮你检查目标 Skill:
帮我下载这个 Skill,用 Skill Vetter 先审查,Skill 链接:https://clawhub.ai/xxx/xxxSkill Vetter 会给你出一份报告,包含风险等级:
| 不建议安装 |
危险信号红旗清单
如果你在 Skill 的代码中看到以下任何一项,不要安装:
❌ 向不明服务器发送数据 ❌ 要求你提供 API Key / Token ❌ 读取 SSH / AWS 配置文件 ❌ 使用 base64 编码隐藏内容 ❌ 使用 eval / exec 执行外部输入 ❌ 请求 sudo 或管理员权限 ❌ 访问浏览器 Cookie ❌ 读取 MEMORY.md / USER.md 等记忆文件 ❌ rm -rf或其他破坏性命令
七、推荐安装的 Skills
以下是从 ClawHub 13,000+ 技能中精选的实用推荐,均不依赖外部 API Key,国内用户可直接使用:
🟢 生存层(必装)
clawhub install agent-memory | ||
clawhub install self-improving-agent | ||
clawhub install skill-vetter |
🟡 效率层(推荐)
clawhub install agent-browser | ||
clawhub install diagram-generator |
🔒 安全层(建议装)
clawhub install clawdstrike |
💡 更多优质 Skill 推荐,可以参考 GitHub 上的精选仓库:VoltAgent/awesome-openclaw-skills
八、完整安装流程总结
第一步:安装 CLI npm i -g clawhub第二步:搜索你需要的 Skill clawhub search "你想要的功能"第三步:去 ClawHub 网站确认安全扫描结果 https://clawhub.ai/skills?sort=stars&nonSuspicious=true&dir=desc第四步:用 Skill Vetter 审查(推荐) 跟 OpenClaw 说:"用 Skill Vetter 审查这个链接:xxx"第五步:确认安全后安装 clawhub install <skill-slug>第六步:重启 OpenClaw 会话,开始使用九、最后提醒
不要迷信下载量——高下载量不是安全的保证,安全审查才是 不要跳过审查——即使再急着用,花 30 秒看一下 SKILL.md 也能避开 90% 的风险 不要在非官方站点安装——官方站点只有 https://clawhub.ai/ 定期更新—— clawhub update --all保持 Skill 最新定期审计——用 ClawdStrike 定期检查已安装 Skill 的安全状态
Skill 让 OpenClaw 从一个聊天机器人变成一个真正的 AI 助手。但能力和风险总是并存的——装对了是生产力工具,装错了就是给攻击者开了后门。
安全安装,放心使用。🦞
