OpenClaw 智能体 1.7 万 Skills 挑花眼?我只装了这 30 个「附安全避坑清单」

打开 ClawHub，技能数量已经奔着两万去了。

一天试一个、不睡觉，也要试上几十年。就像进了一家从地板堆到天花板的超级超市，货架上是没见过的东西，但没有分区、没有标签、没有导购——推着购物车站在门口，不知道往左还是往右。

ClawHub 是 OpenClaw 的技能仓库与发现平台，类似「应用商店」：开发者上传 Skill，用户搜索、安装，让 AI Agent 获得新能力。

今天这篇，是基于两个月深度使用、踩过坑也卸过一堆之后，整理出的真正值得装的一批 Skills，按 8 个使用场景分类，并先讲清一件事：安全比「装什么」更重要。

文｜Hive硅基秩序编辑｜Hive硅基秩序来源｜Hive硅基秩序封面来源｜图片来源网络

1 先别急着装：安全问题比你想的严重

这不是客套。

今年 1 月，CVE-2026-25253 被披露——OpenClaw 的远程代码执行漏洞。通俗讲：装了一个恶意 Skill，它可以在你机器上执行任意代码，不需要你同意，甚至不需要你知道。

紧接着是 ClawHavoc 事件：安全团队在 ClawHub 上扫出一批恶意 Skills（数量在数百级），有的名字和热门工具只差一个字母，有的连图标都仿得很像。装上去之后，环境变量、API 密钥、本地文件，都可能被悄悄拿走。

作者自己的经历是：装了一个「看起来挺正经」的 Skill，名字和正版就差一个字母，用了两天发现不对——一个 API Key 被提交到境外服务器，以极高 token 速率被消耗，后来是靠每周查调用日志才发现并吊销。从那以后，再也不敢「裸装」任何 Skill。

所以，在装任何 Skill 之前，先把安全三件套配齐：

1. Skill Vetter（下载量 3500+）——在安装前自动扫描代码，查可疑网络请求、文件读写、环境变量访问，相当于给 OpenClaw 装了一道安检门。
2. Security Scanner——给每个 Skill 打三档：SAFE / CAUTION / DANGEROUS。红灯直接卸，黄灯看清权限再决定。
3. 100/3 法则：只装「下载量 100+ 且上线至少 3 个月」的 Skill。刚上线几天就几百下载的，可能是刷量；没下载量的，相当于自己当小白鼠。

顺便避雷几个坑：有 Skill 号称一键管理云服务，装完发现每次调用都在偷偷外发请求，Vetter 直接标红；还有叫某某 AutoCoder Pro 的，描述很炫，用起来和直接问大模型差不多，属于套壳；更离谱的有自我介绍写得很长、核心代码就几行的。所以：好用的要挑，危险的更要先挡在门外。

2 分类一：AI 自进化——让 Agent 自己变强

这一类很可能是整个 OpenClaw 生态里最「颠覆认知」的：不是给你一个工具，而是给 Agent 一套「自己造工具」的机制。

• Capability Evolver（ClawHub 下载量第一，3.5 万+）输入 /evolve，它会分析你过去的对话，找出你反复在做的事、它答得不好的地方、可以优化的流程，然后自动生成新 Skill 来补能力缺口。作者用了两周，被自动生成了 7 个新 Skill——包括处理行业简报、整理客户沟通记录等，都是它观察使用习惯后主动生成的。

• Self-Improving Agent（GitHub 有星）走的是模块化自进化：把 Agent 能力拆成模块，每个模块单独评估、单独升级，像给车换零件，不用整车拆了重装。

• Proactive Agent（约 7000 下载）不等你下指令，自己找活干：你设好目标，它持续看环境变化，有需要就主动执行。

三个一起用，效果接近于：一个实习生第一天就自己写 SOP，第二天优化 SOP，第三天开始主动找活。 第一次看到自动生成的 Skill 列表时，与其说害怕，不如说是一种「它已经比我还了解我」的凉意——这就是当下 AI 的一个方向：不是你去适应 AI，而是 AI 来适应你。

3 分类二：开发者效率——代码这事，它比你快

这一类是基建：写代码的人，装几个就够日常用了。

• GitHub（1 万+ 下载）——PR、Issues、代码搜索、仓库操作，一句话搞定，不用在终端和浏览器之间来回切。
• Gog（1.4 万+ 下载）——Google Workspace 全家桶：Gmail、Calendar、Drive、Docs，一个 Skill 打通，做项目管理的容易形成依赖。
• Vercel——前端老朋友，一句「帮我部署到 Vercel」就能上线，不用记命令、翻文档、配 CI/CD。
• NeonDB——把 Git 的分支概念搬到数据库：给数据库开分支，在分支上随便改，搞砸了删分支，主库不受影响。
• Receiving Code Review——做真正的代码审查：架构、性能、安全都会看，不是只报语法错误；作者试过扔 3000 行模块，被指出两处没注意到的竞态条件。

日常用得最多的是 Gog 和 GitHub。对这类 Skill 来说，稳、每天用得上、每次都靠谱，就是最高评价。

4 分类三：搜索与研究——帮你找到你不知道自己需要的东西

AI 的短板是「闭眼干活」：知识有截止日期、上不了网、看不到你屏幕。搜索类 Skills 就是在给它装「手和眼」。

• Agent Browser（1.1 万+ 下载）——模拟真实浏览器：点击、滚动、填表、处理 JS 渲染，能一步步完成「去某站注册账号」这类任务；需要登录的复杂站点仍可能翻车，要有心理预期。
• Exa Web Search——结构化搜索：返回的不是一堆链接，而是表格化结果（公司名、金额、投资方、日期等），适合做行业/融资类检索。
• Summarize（1 万+ 下载）——万物总结：PDF、网页、视频、播客丢进去就出摘要，几十页报告几分钟出两页要点。
• Tavily Web Search（8000+ 下载）——为 AI Agent 优化的搜索 API，结果干净、少广告，做 RAG 的开发者常用。

作者的工作流里，Agent Browser + Summarize 是标配：早上扫一圈信息源，Summarize 生成 2 页摘要，以前 40 分钟的事现在几分钟搞定，覆盖面还更广。搜索 + 总结，是 OpenClaw 最基础的双引擎。

5 分类四：文档与知识管理——让文件变成可用的数据

电脑里成百上千个文件，多数是「死文件」——有价值但不会自己产生价值。这类 Skills 就是把它们变成可被 AI 用的活数据。

• Obsidian（5000+ 下载）——若你用 Obsidian 做笔记，这个 Skill 把笔记库变成 AI 的知识库，能理解笔记关联、按问题去翻你以前写过的内容。
• PDF 2——不止转文字，能做深度解析：合同条款、报告数据、论文方法，自动提取、归类、标重要程度，做法务/审计/研究很实用。
• DocStrange——任意格式文档转结构化数据，会议纪要进去，出来按议题、负责人、截止日期排好；处理中文偶尔乱码，英文没问题。
• PPTX——PPT 转 Markdown，方便把战略/汇报 PPT 喂给 AI 做衍生分析。

6 分类五：多媒体创作——声音、图片、视频都能动

AI Agent 早已不只会文字。

• fal-ai——对接多类模型，做图片、视频、音频生成，一句话描述就能出图。
• ElevenLabs——文字转语音 + 声音克隆，录一段自己的声音，后续 TTS 都用你的声线，做播客、有声书很合适。
• ffmpeg-video-editor——用自然语言剪视频：「前 10 秒剪掉」「加淡入」「背景音乐音量降 30%」，不用碰时间线。
• Figma——读 Figma 文件，提取设计规范、颜色、间距，导出可用资产。

文字之外，AI 正在长出新的感官：图是眼睛，语音是嘴，视频是记忆。 精度未必能完全替代专业设计师，但做文章配图、社媒素材已经够用。

7 分类六：工作流编排——让 Skills 互相配合

单个 Skill 是砖，编排起来才是房子。

• Clawflows——多步骤工作流：例如「每天 8 点用 Exa 搜 5 个领域新闻 → Summarize 生成摘要 → 用 Gog 发到 Gmail」，一套组合拳自动跑。
• Mission Control——每日晨报聚合：邮件、日历、新闻、待办汇总成一份个性化简报。
• Personal Assistant——持久记忆、跨会话：记住你的偏好、项目进展、上次说到哪，关掉窗口也不会全忘。

作者用 Clawflows 搭了「周一早晨自动化」：每周一 8 点拉取上周待办、检查本周日历、扫未读重要邮件，生成「本周优先级清单」发邮箱。从这一步开始，AI 从「工具」变成系统。

8 分类七与八：日常生活 & 写作与内容

日常生活：Remind-me、Todo-tracker、Travel Manager、Weather 等，看名字就懂；Travel Manager 的酒店推荐建议自己再核实。最不起眼的往往最卸不掉。

写作与内容：

• Humanize AI Text（8000+ 下载）——让 AI 写的东西不那么「像 AI 写的」，多维度检测并改到更自然；读者对 AI 味越来越敏感，这类工具会越来越刚需。
• Humanizer-zh——针对中文的「去 AI 味」，专门对付「首先我们需要明确」「让我们一起来探讨」这类机器腔。
• Diagram Generator——用一句话描述，生成 Mermaid 流程图、架构图、甘特图等，写技术文、做汇报都很省事。

用 AI 写，再让 AI 帮你藏住 AI 的痕迹——听起来有点讽刺，但这就是当下很多文字工作的现实；AI 替代不了的，往往是你以往积累的经验，它们价值千金。

9 如果只装 5 个，就这 5 个

30 个一口气过完容易懵，新手起步只建议先装 5 个：

1. Skill Vetter — 安全第一，不装这个其他都先别装。
2. Capability Evolver — 让 Agent 自己变强，装一次长期受益。
3. Gog — Google 全家桶打通，邮件、日历、文档一个 Skill 搞定。
4. Summarize — 万物总结，PDF / 网页 / 视频丢进去就出摘要。
5. Agent Browser — 给 AI 装上眼睛和手，能上网、能操作、能看真实世界。

批量安装示例（以实际 slug 为准，此处仅作格式参考）：

clawhub install skill-vetter capability-evolver gog summarize agent-browser

这 5 个装完，OpenClaw 就从「一个聊天窗口」变成能上网、能读文件、能自我进化的私人助手。剩下二十多个，按场景按需加：写代码多的加 GitHub 和 NeonDB，做内容的加 Humanize AI Text，管团队/信息流的加 Clawflows 和 Mission Control，不必一次全装。

以前的 AI 像每天都是第一天上班的实习生：聪明，但每次都要重新教一遍。有了 Skills（不管是 Claude Code 还是 OpenClaw），它开始记得你的风格、你的流程、你的项目，甚至能发现自己的不足并自我升级。

一万多个技能，你只需要 5 个起步，然后让它自己长出剩下的。记住一件事：AI 不是用来替代你的，而是来帮你的。