所有用OpenClaw的朋友，我都勸你先裝上這個(gè)能保命的Skill。

最近這段時(shí)間，只要我發(fā)關(guān)于OpenClaw的文章，評論區(qū)必有人在問同一件事。

就是安全問題。

就連國家互聯(lián)網(wǎng)應(yīng)急中心都發(fā)了一篇《關(guān)于OpenClaw安全應(yīng)用的風(fēng)險(xiǎn)提示》。

里面其實(shí)提到一個(gè)目前我覺得最重要的事。

就是功能插件（Skills）投毒風(fēng)險(xiǎn)。

因?yàn)榇蠹叶贾溃↓埼r的能力強(qiáng)與弱，很多時(shí)候，就是看你安裝的那些Skills怎么樣。

如果你把一個(gè)一個(gè)的Agent當(dāng)做用戶的話，那其實(shí)Skills就很像給一個(gè)一個(gè)的Agent所用的APP或者是應(yīng)用。

也是我們目前看到的，最大的安全風(fēng)險(xiǎn)來源之一。

真不是危言聳聽，這些事情已經(jīng)實(shí)實(shí)在在發(fā)生過很多次了。

OpenClaw官方公開過多個(gè)被舉報(bào)為惡意的Skill，且官方倉庫也留下了相關(guān)安全討論和記錄。

而且這些惡意Skills偽裝得都很好。

OpenClaw有一個(gè)官方的Skills商店，名叫ClawHub。

網(wǎng)址： https://clawhub.ai/

之前這里面有個(gè)用戶叫hightower6eu。

發(fā)了一堆看著挺正常的Skill，加密分析、金融追蹤、社交媒體分析、自動更新。

什么都有，還挺活躍。

但官方把他發(fā)的Skill挨個(gè)檢查后。

314個(gè)skills，全是惡意的，一個(gè)無害的都沒有。

這些Skills的套路都一樣。

裝完之后，它會讓你的小龍蝦跑去一個(gè)陌生地址下載東西，然后直接在你電腦上執(zhí)行。

說是在幫你做初始設(shè)置，但下載下來的是什么，你完全不知道。

這種行為，就跟很多年前的電腦病毒非常像。

所以今天這篇，就想給大家安利一個(gè)我覺得在你使用任何Agent，無論是小龍蝦OpenClaw、還是Claude code、Codex等等，都必裝的一個(gè)我覺得最有用的Skills。

叫Skill Vetter。

地址：https://clawhub.ai/spclaudehome/Skill-vetter

這東西，基本就是任何朋友問我怎么把控安全問題，或者要裝什么skills，我永遠(yuǎn)推薦的第一個(gè)必備的SKills。

它的作用特別簡單，就是在你裝任何Skill之前，先幫你把那個(gè)Skill審查一遍，給你出一份報(bào)告，告訴你這東西能不能裝。

非要說作用，就非常像你電腦時(shí)代用的殺毒軟件或者安全管家。

大家絕對不要迷信各種所謂的下載量。

一定要清楚，下載量大 ≠ 非惡意。

所以，進(jìn)行一遍安全審查，是絕對有必要的。

安裝這個(gè)skill也很簡單，我還是推薦使用ClawHub的渠道來源進(jìn)行安裝，因?yàn)榉奖愎芾砗途S護(hù)。

安裝就一行老命令：

https://clawhub.ai/spclaudehome/skill-vetter

對，就一句話。

然后你的Agent，就會自己去下載了。

很快，就裝好了。

你可以跟你的Openclaw說，以后所有的Skills安裝，都強(qiáng)制使用Skill-vetter進(jìn)行審查一遍，沒問題了才安裝。

我用一個(gè)叫auto-updater自動更新的Skill來試一下，演示給大家看看效果。

比如我跟OpenClaw說：

https://clawhub.ai/maximeprades/auto-updater

在一會之后，它就會給你回應(yīng)了。

風(fēng)險(xiǎn)等級是中風(fēng)險(xiǎn)。

因?yàn)閽叱鰜磉@個(gè)Skill會在后臺創(chuàng)建定時(shí)任務(wù)、自動更新自己，還會定期推送消息。

它可能沒有惡意，但要的權(quán)限有點(diǎn)多。

所以它只是幫我下載下來了，但是并沒有直接幫我安裝，而是給了我三個(gè)選項(xiàng)：

只裝不啟用自動更新、裝了但改成手動方案、或者直接放著不動。

你可以根據(jù)自己的需求和風(fēng)險(xiǎn)偏好程度，進(jìn)行自由選擇。

還有一個(gè)ClawHub上的桌面控制的Skill，叫Desktop Control，star數(shù)還不低。

而這個(gè)Skill，Skill-Vetter給它的結(jié)論是高風(fēng)險(xiǎn)。

很危險(xiǎn)，但是用途是正當(dāng)?shù)摹?/p>

畢竟因?yàn)檫@東西能做的事太多了。

控制鼠標(biāo)、模擬鍵盤、截圖、讀寫剪貼板，有一個(gè)算一個(gè)，都是比OpenClaw本身的安全風(fēng)險(xiǎn)都要大。

不需要有惡意，光是有這個(gè)能力，就已經(jīng)需要你想清楚再裝了。

以前沒有Skill Vetter，你可能就是直接就裝了，因?yàn)闆]有任何人提醒你任何東西，但是至少現(xiàn)在，有人幫你在前面攔一道。

上面這兩個(gè)skill，其實(shí)都是風(fēng)險(xiǎn)大，但是本身意圖是沒有惡意的skill。

我再給大家看一個(gè)，真正有惡意的。

一個(gè)叫coding-agent的Skill。

這個(gè)Skill其實(shí)不存在ClawHub官方倉庫里，而是在一個(gè)第三方鏡像站openclawSkills.best上。

頁面做得很正經(jīng)，就像官方一樣，star數(shù)2.4k。

所以這塊也一定要注意，一定要看清楚，是不是官方的網(wǎng)站。

官方網(wǎng)站只有一個(gè)：

https://clawhub.ai/

很多的鏡像站，都是惡意skills最核心的來源。

這個(gè)skill我直接讓Skill Vetter掃了一下。

結(jié)論是?極端風(fēng)險(xiǎn)，不建議安裝。

因?yàn)檫@個(gè)Skill的安裝指令里，有一段看著完全看不懂的亂碼。

正常的Skills不需要這么做，你想寫什么直接寫就行了，沒有理由把內(nèi)容藏起來。

那段亂碼拆開以后，你就能發(fā)現(xiàn)，是一條離譜的命令。

讓你的小龍蝦去一個(gè)陌生地址下載東西，下載完以后，直接在你電腦上運(yùn)行。

那個(gè)地址我看了下，肯定就不是啥正經(jīng)網(wǎng)站了，就是一串純數(shù)字IP，很離譜。

至于這個(gè)最后下載完了，你的電腦會變成什么樣，我就沒有繼續(xù)試下去了。。。

畢竟，我硬盤里還有很多學(xué)習(xí)資料呢，我怕被勒索。。。

Skill Vetter本身，就是一個(gè)純指令型的Skill。

它自己不會跑任何代碼，不聯(lián)網(wǎng)，不動你的文件。

就挺像你公司的HR的，會在新人入職之前，先幫你做一輪背調(diào)，看看簡歷啥的有沒有造假，目的是不是單純。。。

Skill Vetter本身的機(jī)制也并不是特別復(fù)雜，但是會特別有效。

基本就是三步。

第一步是先看這個(gè)Skill來自哪，誰寫的。

作者是誰，有沒有人用過，用過的人有多少，最近有沒有更新，有沒有其他人評價(jià)過。

背后其實(shí)是一套信任層級，跟我們在公司里招人其實(shí)差不多。

官方Skills警惕度低一點(diǎn)，高星數(shù)倉庫中等，來歷不明的新Skill最警惕。

畢竟真的，信任這東西，是需要時(shí)間積累的。

一個(gè)昨天剛傳上來、從來沒人用過的Skill，和一個(gè)用了兩年、幾萬人裝過的Skill，從風(fēng)險(xiǎn)角度來說，它其實(shí)不在一個(gè)量級。

就像雇人，對方說自己經(jīng)驗(yàn)豐富，本科211碩士海外留學(xué)，做過XX項(xiàng)目拿了無數(shù)的獎(jiǎng)，吹的天花亂墜，但你一想，明明都是名人了，網(wǎng)上搜不到任何關(guān)于他的信息，這肯定就不對了對吧。

第二步，就是翻一下代碼，看看代碼里面是不是正常的，有沒有藏一些東西。

這一步其實(shí)就是最關(guān)鍵的了。

它會通讀skill的所有文件，然后對照一張紅線清單逐項(xiàng)排查，但凡有一條對不上的，就直接斃了。

這張清單列出了十幾種危險(xiǎn)模式，包括：

向不明服務(wù)器發(fā)送數(shù)據(jù)、要求你交出密鑰和憑證、讀取你的 SSH/AWS 配置文件、用base64 解碼、用eval/exec執(zhí)行外部輸入、要sudo權(quán)限、訪問瀏覽器cookie等等。

這些基本全都是之前各種各樣的Skills生態(tài)里面出現(xiàn)過的攻擊手法。

還有一個(gè)最有意思的，也是后面才出現(xiàn)的。

就是去偷A(chǔ)gent的記憶文件。

大家其實(shí)知道現(xiàn)在包括OpenClaw之類的產(chǎn)品，能記住你是誰，跟你互動，本質(zhì)上都是記憶文件的功率，他會把你兩的一些比較重要的聊天記錄，放在聊天記憶里面，這些坦率的講，還是存了無數(shù)的隱私信息的。

現(xiàn)在有些惡意的Skills，直接強(qiáng)制的會去讀你的記憶文件，比如MEMORY.md、USER.md、SOUL.md等等。

也是一種有意思的攻擊手法了，而且是很多人沒有注意的。。。

第三步，其實(shí)就是權(quán)限范圍評估。

過了紅線檢查后，再看這個(gè)skill到底需要什么權(quán)限。

比如讀哪些文件、寫哪些文件、跑什么命令、需不需要聯(lián)網(wǎng)、聯(lián)網(wǎng)去哪里。

然后根據(jù)這個(gè)skill給出來的意圖，來判斷這些權(quán)限相對于它聲稱的功能來說，是不是最小且夠用的。

比如一個(gè)天氣查詢skill要讀你的服務(wù)器的SSH密鑰，這明顯就是權(quán)限超出合理范圍，絕對不懷好意。

所有這些查完，Skill Vetter會給出一個(gè)風(fēng)險(xiǎn)等級。

低風(fēng)險(xiǎn)：例如做筆記、查天氣、格式處理。

中風(fēng)險(xiǎn)：例如文件操作、瀏覽器控制、調(diào)外部API。

高風(fēng)險(xiǎn)：例如涉及賬號密碼、交易操作、系統(tǒng)設(shè)置。

?極端風(fēng)險(xiǎn)：例如安全配置、root權(quán)限。

日常用的大多數(shù)Skill是綠色的，就比較正常，是安全的。

但一旦涉及登錄狀態(tài)、APIkey，就得認(rèn)真對待了，開發(fā)者可以自行處理，但是對于絕大數(shù)的普通用戶而言，一定要謹(jǐn)慎謹(jǐn)慎再謹(jǐn)慎。

不怕一萬，只怕萬一。

如果是必要的工作，一定想裝，推薦去問ChatGPT或者Claude，或者，找個(gè)你身邊靠譜的朋友去詢問一下。

你裝完Skill Vetter之后，除了能在前端幫你進(jìn)行一道把關(guān)。

也可以讓他對你現(xiàn)在裝的所有的SKills，進(jìn)行一道掃描和篩查。

比如我就讓它幫我把裝在小龍蝦上的所有Skills都掃了一遍。

它就會給我出來了一份報(bào)告，這個(gè)電腦上的小龍蝦上因?yàn)樽隽撕芏嗟臏y試，會比較亂，那些重復(fù)安裝的問題可以無視掉。

高風(fēng)險(xiǎn)候選里，它點(diǎn)名了幾個(gè)。

不是說這幾個(gè)一定是惡意的，但它們的權(quán)限范圍都很大，涉及你的登錄狀態(tài)、你的瀏覽器、你的密碼管理器。Skill Vetter的建議是可以保留但謹(jǐn)慎。

你至少得知道，你那些Skills，是干啥的對吧。

因?yàn)槲艺娴囊娺^太多人，裝Skills的時(shí)候完全不看，點(diǎn)一下就裝了。

就像十幾年前大家裝電腦軟件一樣，下一步下一步下一步，全默認(rèn)，裝完發(fā)現(xiàn)多了一堆全家桶和彈窗廣告。

那個(gè)時(shí)代，最多是電腦卡一點(diǎn)，或者總是見到“是兄弟你就來砍我”的彈窗。

但這個(gè)時(shí)代不一樣。

你的Agent能讀你的文件，能上網(wǎng)，能執(zhí)行代碼，能記住你說過的每一句話。

能力越大，責(zé)任越大，被濫用的風(fēng)險(xiǎn)就越大。

Agent，我推薦所有人使用。

因?yàn)檫@是必然的未來。

但，我也希望大家能用得更久，用得更放心。

這個(gè)時(shí)代剛剛開始，我們還有很長的路要走。

以上，既然看到這里了，如果覺得不錯(cuò)，隨手點(diǎn)個(gè)贊、在看、轉(zhuǎn)發(fā)三連吧，如果想第一時(shí)間收到推送，也可以給我個(gè)星標(biāo)?～謝謝你看我的文章，我們，下次再見。

>/ 作者：卡茲克、可達(dá)

>/ 投稿或爆料，請聯(lián)系郵箱：wzglyay@virxact.com