夜雨聆风最近这段时间,只要我发 OpenClaw 相关内容,评论区和私信里总有人问我同一个问题:安全到底怎么搞?
我一点都不意外。
因为很多人已经不是在“看看热闹”了,而是真的开始装 Skills、接工作流、拿 Agent 干活了。到了这一步,安全就不是一句空话,而是每天都可能踩到的坑。
国家互联网应急中心已经发过相关风险提示。对普通用户来说,最容易出事的地方,很多时候还不是 OpenClaw 主程序本身,而是 Skills。
很多人一看到 Skill,会下意识把它当成插件、扩展、增强包。
但这东西没那么轻。
说白了,Skill 更像一个能被 Agent 调用的小程序。它可能读文件,可能跑命令,可能联网,也可能去碰外部接口。权限一旦给出去,事情就不是“多装一个功能”这么简单了。
更麻烦的是,恶意 Skill 往往装得很像正经工具。
原文里提到一个很典型的例子。ClawHub 里曾经有个看起来很活跃的账号,发的内容从加密分析、金融追踪到自动更新,表面看都挺正常,甚至还显得挺专业。
结果官方一查,314 个 Skills,全是恶意的,一个无害的都没有。
这件事真正吓人的,不是 314 这个数字本身。
而是你很容易被它骗过去。
你以为自己在装工具,实际上是在给陌生人开门。
这些恶意 Skill 的套路,说穿了也不新鲜。
最常见的一类,就是让 Agent 去陌生地址下载东西,然后直接在你电脑上执行。它嘴上说的是“帮你完成初始化配置”,但到底下载了什么、执行了什么,你根本看不见。
如果你经历过早年的电脑时代,这套逻辑你一定不陌生。
下载、执行、驻留、偷偷联网。这和当年的木马、流氓软件、全家桶,本质上就是一回事。只是今天它换了个名字,叫 Skill。
所以我现在给所有 OpenClaw 用户的建议都很直接:
如果你准备长期用 OpenClaw,先别急着装一堆看起来很酷的 Skill。先装一个专门审 Skill 的 Skill。
就是 Skill Vetter。
我为什么把它列成默认必装?
因为它做的不是帮你炫技,也不是帮你提效率。它干的,是先替你踩一脚刹车。
Skill Vetter 的作用很简单:你准备装任何 Skill 之前,先让它审一遍,然后给你一份风险判断。
你可以把它理解成 Agent 时代的“安装前安检”。
它主要看三件事。
第一,看来源。
这个 Skill 从哪里来,作者是谁,有没有公开记录,有没有持续维护,有没有人真用过。
这一步听起来像常识,但现实是,很多人连域名都不会多看一眼。
这里我只提醒一句:官方 ClawHub 只有一个站点,https://clawhub.ai/。
很多第三方镜像站做得很像官网,数字也很好看,star 数也不低。问题恰恰就在这儿。越像,越容易让人放下警惕。
第二,看代码。
这一步最关键。
它会检查 Skill 里有没有明显危险的模式。比如往不明服务器发数据,索要密钥和凭证,读取 SSH/AWS 配置,用 base64 藏命令,用 eval/exec 执行外部输入,申请 sudo 权限,读取浏览器 Cookie,甚至去碰 Agent 的记忆文件。
这些行为不是一出现就一定恶意,但只要出现,就已经值得你停下来多看两眼了。
第三,看权限是不是“最小够用”。
一个 Skill 说自己只是查天气,结果却想读你的服务器密钥;一个 Skill 说自己只是做格式整理,结果却要浏览器登录态和密码管理器权限。
这种时候,其实不用替它圆。
功能和权限对不上,基本就该警觉了。
Skill Vetter 最大的价值,不是替你做决定,而是把那些本来藏在底下的风险,提前摊开给你看。
原文里举了几个很典型的例子。
比如 auto-updater 这类 Skill,Skill Vetter 给出的结论是中风险。原因不是它一定恶意,而是它会创建定时任务、自动更新自己,还会定期推送消息。
换句话说,它要的权限明显比普通 Skill 大。
所以 Skill Vetter 不会一股脑帮你装上,而是把选择留给你:只安装,不启用自动更新;或者改成手动方案;或者先别动。
再比如 Desktop Control 这类 Skill。
它的用途当然可能是正当的,但 Skill Vetter 还是会给高风险判断。理由也不复杂:它能控制鼠标、模拟键盘、截图、读写剪贴板。
有没有恶意先放一边,光这个能力范围,就已经足够你谨慎了。
更极端的,是那些来自第三方镜像站、页面做得像官网、数字也很好看的 Skill。
原文里提到一个案例,安装指令里甚至藏了一段看不懂的乱码。拆开之后,本质上就是让 Agent 去一个陌生 IP 下载东西,然后在本地直接执行。
这种东西,其实没什么“再观察一下”的必要。
直接远离就行。
所以这篇文章真正想说的,其实就两句。
第一句,别再把下载量和 star 数,当成免死金牌。
下载量大,不等于无害。功能看着正经,不等于权限合理。页面做得像官网,也不等于它真的是官网。
第二句,把“先审查,再安装”变成默认动作。
不要每次都靠临场判断。给自己定个死规矩:所有新 Skill,先过一遍 Skill Vetter;所有已经装上的 Skill,定期回扫一次。
这不是给自己加流程。
这是在给未来的自己减麻烦。
因为今天的 Agent,已经不是当年那种“装坏了最多重装软件”的东西了。
它能读你的文件,能联网,能执行代码,能记住你的聊天,甚至可能接触到你的账号环境。
能力越大,误装一个恶意 Skill 的代价就越大。
Agent 这件事,我当然推荐大家用。
因为这就是接下来几年的确定性方向。
但我更希望大家不是“越早用越容易出事”,而是“越早建立安全习惯,越能用得久”。
如果你问我,今天给 OpenClaw 做安全,最值得先做的一步是什么?
我的答案还是这个:
先把 Skill Vetter 装上。
它不会让你第一眼就觉得“哇,这也太强了”。
但很多时候,真正保命的东西,本来就不是拿来炫技的。
它只是负责,让你别在第一步就踩坑。
安装提示
如果你想按原文里的方式来,最简单的做法就是直接让 Agent 安装:
帮我安装这个 Skill:https://clawhub.ai/spclaudehome/skill-vetter
装完之后,再补一句:
以后所有 Skills 安装前,先用 Skill Vetter 审查,确认没问题再安装。
我做了一份【Openclaw的养成之路】的飞书文档,免费开放。
欢迎关注公众号->发送【龙虾群】
识别二维码进群->免费领取