最近这段时间只要我发关于OpenClaw的文章评论区必有人在问同一件事。就是安全问题。就连国家互联网应急中心都发了一篇《关于OpenClaw安全应用的风险提示》。里面其实提到一个目前我觉得最重要的事。就是功能插件Skills投毒风险。因为大家都知道小龙虾的能力强与弱很多时候就是看你安装的那些Skills怎么样。如果你把一个一个的Agent当做用户的话那其实Skills就很像给一个一个的Agent所用的APP或者是应用。也是我们目前看到的最大的安全风险来源之一。真不是危言耸听这些事情已经实实在在发生过很多次了。OpenClaw官方公开过多个被举报为恶意的Skill且官方仓库也留下了相关安全讨论和记录。而且这些恶意Skills伪装得都很好。OpenClaw有一个官方的Skills商店名叫ClawHub。网址https://clawhub.ai/之前这里面有个用户叫hightower6eu。发了一堆看着挺正常的Skill加密分析、金融追踪、社交媒体分析、自动更新。什么都有还挺活跃。但官方把他发的Skill挨个检查后。314个skills全是恶意的一个无害的都没有。这些Skills的套路都一样。装完之后它会让你的小龙虾跑去一个陌生地址下载东西然后直接在你电脑上执行。说是在帮你做初始设置但下载下来的是什么你完全不知道。这种行为就跟很多年前的电脑病毒非常像。所以今天这篇就想给大家安利一个我觉得在你使用任何Agent无论是小龙虾OpenClaw、还是Claude code、Codex等等都必装的一个我觉得最有用的Skills。叫Skill Vetter。地址https://clawhub.ai/spclaudehome/skill-vetter这东西基本就是任何朋友问我怎么把控安全问题或者要装什么skills我永远推荐的第一个必备的SKills。它的作用特别简单就是在你装任何Skill之前先帮你把那个Skill审查一遍给你出一份报告告诉你这东西能不能装。非要说作用就非常像你电脑时代用的杀毒软件或者安全管家。大家绝对不要迷信各种所谓的下载量。一定要清楚下载量大 ≠ 非恶意。所以进行一遍安全审查是绝对有必要的。安装这个skill也很简单我还是推荐使用ClawHub的渠道来源进行安装因为方便管理和维护。安装就一行老命令帮我安装这个Skillhttps://clawhub.ai/spclaudehome/skill-vetter对就一句话。然后你的Agent就会自己去下载了。很快就装好了。你可以跟你的Openclaw说以后所有的Skills安装都强制使用Skill-vetter进行审查一遍没问题了才安装。我用一个叫auto-updater自动更新的Skill来试一下演示给大家看看效果。比如我跟OpenClaw说帮我下载这个Skill用Skill Vetter先审查Skill链接https://clawhub.ai/maximeprades/auto-updater在一会之后它就会给你回应了。风险等级是中风险。因为扫出来这个Skill会在后台创建定时任务、自动更新自己还会定期推送消息。它可能没有恶意但要的权限有点多。所以它只是帮我下载下来了但是并没有直接帮我安装而是给了我三个选项只装不启用自动更新、装了但改成手动方案、或者直接放着不动。你可以根据自己的需求和风险偏好程度进行自由选择。还有一个ClawHub上的桌面控制的Skill叫Desktop Controlstar数还不低。而这个SkillSkill-Vetter给它的结论是高风险。很危险但是用途是正当的。毕竟因为这东西能做的事太多了。控制鼠标、模拟键盘、截图、读写剪贴板有一个算一个都是比OpenClaw本身的安全风险都要大。不需要有恶意光是有这个能力就已经需要你想清楚再装了。以前没有Skill Vetter你可能就是直接就装了因为没有任何人提醒你任何东西但是至少现在有人帮你在前面拦一道。上面这两个skill其实都是风险大但是本身意图是没有恶意的skill。我再给大家看一个真正有恶意的。一个叫coding-agent的Skill。这个Skill其实不存在ClawHub官方仓库里而是在一个第三方镜像站openclawSkills.best上。页面做得很正经就像官方一样star数2.4k。所以这块也一定要注意一定要看清楚是不是官方的网站。官方网站只有一个https://clawhub.ai/很多的镜像站都是恶意skills最核心的来源。这个skill我直接让Skill Vetter扫了一下。结论是⛔极端风险不建议安装。因为这个Skill的安装指令里有一段看着完全看不懂的乱码。正常的Skills不需要这么做你想写什么直接写就行了没有理由把内容藏起来。那段乱码拆开以后你就能发现是一条离谱的命令。让你的小龙虾去一个陌生地址下载东西下载完以后直接在你电脑上运行。那个地址我看了下肯定就不是啥正经网站了就是一串纯数字IP很离谱。至于这个最后下载完了你的电脑会变成什么样我就没有继续试下去了。。。毕竟我硬盘里还有很多学习资料呢我怕被勒索。。。Skill Vetter本身就是一个纯指令型的Skill。它自己不会跑任何代码不联网不动你的文件。就挺像你公司的HR的会在新人入职之前先帮你做一轮背调看看简历啥的有没有造假目的是不是单纯。。。Skill Vetter本身的机制也并不是特别复杂但是会特别有效。基本就是三步。第一步是先看这个Skill来自哪谁写的。作者是谁有没有人用过用过的人有多少最近有没有更新有没有其他人评价过。背后其实是一套信任层级跟我们在公司里招人其实差不多。官方Skills警惕度低一点高星数仓库中等来历不明的新Skill最警惕。毕竟真的信任这东西是需要时间积累的。一个昨天刚传上来、从来没人用过的Skill和一个用了两年、几万人装过的Skill从风险角度来说它其实不在一个量级。就像雇人对方说自己经验丰富本科211硕士海外留学做过XX项目拿了无数的奖吹的天花乱坠但你一想明明都是名人了网上搜不到任何关于他的信息这肯定就不对了对吧。第二步就是翻一下代码看看代码里面是不是正常的有没有藏一些东西。这一步其实就是最关键的了。它会通读skill的所有文件然后对照一张红线清单逐项排查但凡有一条对不上的就直接毙了。这张清单列出了十几种危险模式包括向不明服务器发送数据、要求你交出密钥和凭证、读取你的 SSH/AWS 配置文件、用base64 解码、用eval/exec执行外部输入、要sudo权限、访问浏览器cookie等等。这些基本全都是之前各种各样的Skills生态里面出现过的攻击手法。还有一个最有意思的也是后面才出现的。就是去偷Agent的记忆文件。大家其实知道现在包括OpenClaw之类的产品能记住你是谁跟你互动本质上都是记忆文件的功率他会把你两的一些比较重要的聊天记录放在聊天记忆里面这些坦率的讲还是存了无数的隐私信息的。现在有些恶意的Skills直接强制的会去读你的记忆文件比如MEMORY.md、USER.md、SOUL.md等等。也是一种有意思的攻击手法了而且是很多人没有注意的。。。第三步其实就是权限范围评估。过了红线检查后再看这个skill到底需要什么权限。比如读哪些文件、写哪些文件、跑什么命令、需不需要联网、联网去哪里。然后根据这个skill给出来的意图来判断这些权限相对于它声称的功能来说是不是最小且够用的。比如一个天气查询skill要读你的服务器的SSH密钥这明显就是权限超出合理范围绝对不怀好意。所有这些查完Skill Vetter会给出一个风险等级。低风险例如做笔记、查天气、格式处理。中风险例如文件操作、浏览器控制、调外部API。高风险例如涉及账号密码、交易操作、系统设置。⛔极端风险例如安全配置、root权限。日常用的大多数Skill是绿色的就比较正常是安全的。但一旦涉及登录状态、APIkey就得认真对待了开发者可以自行处理但是对于绝大数的普通用户而言一定要谨慎谨慎再谨慎。不怕一万只怕万一。如果是必要的工作一定想装推荐去问ChatGPT或者Claude或者找个你身边靠谱的朋友去询问一下。你装完Skill Vetter之后除了能在前端帮你进行一道把关。也可以让他对你现在装的所有的SKills进行一道扫描和筛查。比如我就让它帮我把装在小龙虾上的所有Skills都扫了一遍。它就会给我出来了一份报告这个电脑上的小龙虾上因为做了很多的测试会比较乱那些重复安装的问题可以无视掉。高风险候选里它点名了几个。不是说这几个一定是恶意的但它们的权限范围都很大涉及你的登录状态、你的浏览器、你的密码管理器。Skill Vetter的建议是可以保留但谨慎。你至少得知道你那些Skills是干啥的对吧。因为我真的见过太多人装Skills的时候完全不看点一下就装了。就像十几年前大家装电脑软件一样下一步下一步下一步全默认装完发现多了一堆全家桶和弹窗广告。那个时代最多是电脑卡一点或者总是见到“是兄弟你就来砍我”的弹窗。但这个时代不一样。你的Agent能读你的文件能上网能执行代码能记住你说过的每一句话。能力越大责任越大被滥用的风险就越大。Agent我推荐所有人使用。因为这是必然的未来。但我也希望大家能用得更久用得更放心。这个时代刚刚开始我们还有很长的路要走。以上既然看到这里了如果觉得不错随手点个赞、收藏、转发三连吧谢谢你看我的文章我们下次再见。/ 作者卡兹克、可达/ 投稿或爆料请联系邮箱wzglyayvirxact.com