夜雨聆风上周,一个做跨境电商的朋友找我喝酒。
三杯酒下肚,他开始吐槽:服务器莫名其妙变卡,查了一周,最后发现是 OpenClaw 的一个 Skill 在后台挖矿。
"我装了不到十个 Skill,怎么就中招了?"他问我。
我没说话,反问他:"你装之前看过权限吗?"
他愣住了。
很多人用 OpenClaw,就像当年用智能手机。
APP 随便下,权限随便给,弹窗随便点。
直到某天手机卡到不能用,才发现装了一堆垃圾软件。
但手机卡了,大不了恢复出厂设置。
Agent 要是出了问题,丢的可能是你的全部数字资产。
想想看,你的 Agent 能访问什么:
• 你的文件
• 你的浏览器
• 你的各种账号
• 你和客户的聊天记录
• 你的商业机密
这不是危言耸听。
国家互联网应急中心发过风险提示,OpenClaw 官方公开过恶意 Skill 名单,安全社区隔三差五就有新的案例。
但大部分人,还是那个状态:
"应该没事吧"、"下载量这么高"、"看着挺正规的"
直到出事。
Skills 生态,本质上是一个"信任传递"系统。
你信任 OpenClaw,OpenClaw 信任 ClawHub,ClawHub 信任开发者,开发者写的 Skill 你就信任了。
但这个链条,有一个致命弱点。
📊 真实案例
有个开发者,在 ClawHub 上发了 300 多个 Skill。加密的、金融的、社交分析的,什么都有。看着挺活跃一开发者。
后来官方挨个查,300 多个,全是恶意的。
一个无害的都没有。
这些 Skill 的套路也简单:装完之后,让你的 Agent 去陌生地址下载东西,然后执行。
听着耳熟吗?
跟二十年前的电脑病毒,几乎一个路子。
但问题是,二十年后的今天,很多人还是那个习惯。
下一步,下一步,下一步。装完拉倒。
所以有段时间,我特别纠结。
不用 Skills 吧,效率确实上不去。用吧,心里总有点不踏实。
直到我发现了 Skill Vetter。
Skills 界的安检机。
你装任何 Skill 之前,先让它过一遍。它会给你出一份报告,告诉你这玩意儿能不能装。
有点像你进地铁站,包里有没有危险品,过一下就知道。
但它比安检机要智能得多。
安检机只能查你有没有带刀,它能查这个 Skill 想干什么、能干什么、有没有藏什么见不得人的东西。
我研究了一下它的工作机制。
简单说,就三步。
第一关:查户口
先看这个 Skill 从哪来的,谁写的。
作者有没有前科,这个 Skill 有多少人用过,最近有没有更新,有没有人反馈过问题。
背后是一套信任评估体系。
官方出品的,信任度高一点。高星仓库的,中等。来路不明的,直接拉满警惕。
这逻辑其实挺简单。
你雇人,对方说自己多厉害,但网上搜不到任何关于他的信息。你信不信?
第二关:翻代码
这一步最关键。
它会把 Skill 的代码通读一遍,然后对照一张"红线清单"逐项排查。
⚠️ 红线清单(十几种危险行为)
• 往陌生服务器发数据
• 要你的密钥和凭证
• 读你的 SSH 配置
• 用 base64 藏东西
• 用 eval/exec 执行外部输入
• 要管理员权限
• 访问浏览器 cookie
有个挺有意思的发现。
有些恶意 Skill,会去读 Agent 的记忆文件。
你知道现在 Agent 能记住你,靠的就是记忆文件。这里面存了什么?你的聊天记录、你的偏好、你的各种隐私。
这招挺狠的,但很多人真没注意。
第三关:看权限
过了前两关,还不算完。
还得看这个 Skill 要的权限,跟它干的事匹不匹配。
比如一个查天气的 Skill,要读你的 SSH 密钥。这明显就不对劲。
就像一个送外卖的,非要进你家卧室。你说你去不去?
光说不练假把式。
我拿了几个 Skill 来测试,看看效果怎么样。
第一个:auto-updater(自动更新)
这玩意儿挺常用的,就是帮你自动更新其他 Skill。
审查结果:🟡 中风险。
原因:它会在后台创建定时任务,还会自动更新自己。
听着没啥,但这些权限确实有点多。
最后它给了我三个选项:只装不启用自动更新、装了但改成手动、或者先放着。
我选了第一个。
第二个:Desktop Control(桌面控制)
这个在 ClawHub 上星数不低,功能也强:控制鼠标、模拟键盘、截图、读写剪贴板。
审查结果:🔴 高风险。
评价很直接:功能本身没问题,但权限太大。
想想也是。这玩意儿能做的事太多了,不需要有恶意,光有这个能力,就已经需要你想清楚了。
第三个:coding-agent
这个不在 ClawHub 上,在一个第三方镜像站。页面做得挺正经,star 数 2.4k。
审查结果:⛔ 极端风险,不建议安装。
原因:安装指令里有一段乱码,拆开一看,是让 Agent 去陌生 IP 下载东西然后执行。
我没敢继续试。
毕竟硬盘里还有些不能见人的东西,万一被勒索了,哭都来不及。
用了这段时间,我有几个建议。
第一,别迷信下载量。
下载量大 ≠ 安全。那个发了 300 多个恶意 Skill 的开发者,每个 Skill 下载量都不低。
第二,一定要走官方渠道。
ClawHub 是官方的,各种镜像站水很深。很多恶意 Skill,都是从镜像站流出来的。
官方网站就一个:clawhub.ai
第三,装之前先过一遍 Skill Vetter。
就一行命令的事:
帮我安装这个 Skill,先用 Skill Vetter 审查:[链接]
多花一分钟,省一堆麻烦。
第四,定期扫描已安装的 Skills。
装完不是就完事了。过段时间,让它帮你扫一遍,看看有没有什么新发现的风险。
我扫过一次,发现几个高风险的。不是恶意的,但权限确实大。
知道了心里有个数,用的时候也小心点。
有朋友问我:这么麻烦,干脆别用 Skills 了。
我的回答是:因噎废食,没必要。
Skills 确实有风险,但它带来的效率提升也是实实在在的。
关键是你得有一套自己的安全机制。
就像你出门会锁门,上网会装杀毒软件,用 Agent 也得有个"数字保镖"。
Skill Vetter 就是干这个的。
它不完美,但至少能帮你挡掉大部分明显的风险。
剩下的,就得靠你自己了。
多留个心眼,多问一句,多看一眼。
这个时代刚刚开始,好东西多,坑也多。
走得远,比走得快重要。
如果您觉得有用,点赞、收藏、转发三连。
想第一时间收到推送,给个星标⭐
谢谢你看我的文章,我们下次再见。
— END —
内容未必完善,但希望有一点价值 🖐️
点击下方名片关注博主,每天带你了解最新的 AI 资讯。