夜雨聆风一段可执行代码,可以读写你的文件、跑终端命令、调用你的 API。如果它有恶意——你可能毫不知情。
这是 AI Agent 技能化之后,所有平台和使用者都必须面对的原始问题:方便和安全,能不能同时拥有?
国家互联网应急中心CNCERT、中国网络空间安全协会发新发布了《OpenClaw安全使用实践指南》也正是出于此原因。
OpenClaw v2025.3.24 新版本发布后,给出的答案是 ClawHub,在技能安全管理方面往前走了一大步。
ClawHub:不只是商店,还是安全通道
新版OpenClaw 将 ClawHub 作为优先技能分发平台,避免了npm 安装插件毫无安全审查的无序情况。
每一个上架 ClawHub 的技能都经过 OpenClaw 官方打包和签名校验。安装时,系统核验签名是否与官方记录匹配——来路不明的安装包无法通过验证。
这是 AI Agent 时代的标配。
三步安装,安全审查可见
以安装 weather 技能为例,整个过程不超过 3 分钟:
第一步:搜索技能
在 ClawHub 官网搜索 "weather",或直接运行:
npx clawhub@latest search weather第二步:一键安装
npx clawhub@latest install weather第三步:在 Control UI 中启用
打开 OpenClaw Control UI,进入「技能」标签页,找到 weather 技能卡片,点击启用。如果系统检测到有额外依赖项缺失,会自动弹出提示,告诉你需要做什么。
三个安心机制
版本化管理
每个技能维护完整版本历史,出问题时可在 Control UI 中一键回滚到任意历史版本,不需要手动下载旧包或重配环境。
依赖自动校验
安装时系统自动检测所有依赖项,在安装完成前告知用户缺失了什么,而非等运行时报错才暴露问题。
权限预览
安装前即可在 Control UI 中查看技能权限范围——会读写哪些文件、调用哪些接口、执行哪些终端命令,让用户在做决定之前就拥有完整信息。
写在最后
ClawHub 目前仍处于起步阶段,核心基础设施已完整:官方签名机制上线、版本化管理可用、Control UI 集成到位。
此外,新版本的Dashboard网关也升级了,安装配置更加便捷。
总之,新版本值得升级~如果不了解如何升级,请查看本文所在的OpenClaw合集。
好了,今天的分享就到这里。关注我,第一时间掌握最有价值的养虾技巧。
