OpenClaw Skills投毒风险曝光！必装这个“AI杀毒软件”Skill Vetter

OpenClaw Skills投毒风险曝光！必装这个“AI杀毒软件”Skill Vetter

最近这段时间，我只要发关于OpenClaw的文章，评论区就有人反复问同一个问题。

安全到底怎么保障？

说白了，这担心不是多余的。连国家互联网应急中心都专门出了一篇《关于OpenClaw安全应用的风险提示》。里面直指一个最要命的事——功能插件（Skills）的投毒风险。

你把每个Agent当成用户，Skills其实就是它们用的一个个APP。小龙虾能力强不强，全看你装了啥插件。可风险也正藏在这里。真不是吓唬人，这种事已经实打实发生过好多次。

OpenClaw官方仓库里就有多个被举报的恶意Skills，还有相关的安全讨论记录。那些插件伪装得特别巧妙，普通人一眼根本看不出来。

所以今天这篇，我就直接安利一个我认为任何Agent——不管是OpenClaw、小龙虾还是Claude Code、Codex——都该先装的必备Skills。

它叫Skill Vetter。

地址就在官方ClawHub：https://clawhub.ai/spclaudehome/skill-vetter

我每次朋友问怎么控安全，或者要装啥插件，我第一个推荐的就是它。作用简单粗暴：在你装任何Skill之前，先帮你审一遍，给出一份详细报告，告诉你能不能装。

这东西，就跟电脑时代的安全管家或者杀毒软件差不多。

大家千万别迷信下载量。下载量高不等于安全。做一次审查，绝对有必要。

Skills为什么成了最大安全隐患

OpenClaw的官方Skills商店叫ClawHub，网址https://clawhub.ai/。

之前有个用户叫hightower6eu，在里面发了一堆看着挺正常的插件。加密分析、金融追踪、社交媒体分析、自动更新，什么都有，还挺活跃。

官方挨个检查后发现问题大了。314个Skills，全是恶意的，一个干净的都没有。

它们的套路都一样：装完后，让你的小龙虾去陌生地址下载东西，然后直接在本地执行。表面说“帮你做初始设置”，其实下载的内容你完全不知道。

这跟十多年前的电脑病毒几乎一模一样。

前几天看到官方记录，这种事已经不是个例。恶意Skills伪装成正常工具，一旦跑起来，后果可能就是文件被删、数据外泄，甚至电脑被控制。

你可能会问，为什么官方商店里也会出现？因为ClawHub本身是开放的，任何人都能上传。官方会事后清理，但用户先中招的概率不小。

所以，光靠官方仓库不保险。第三方镜像站更危险。

ClawHub官方渠道安装最靠谱

安装Skill Vetter，我还是强烈建议走ClawHub官方渠道。这样方便管理，也能随时更新。

步骤其实超级简单，只需一行命令：

npx clawhub@latest install spclaudehome/skill-vetter

就这句话。你的Agent自己会去下载和配置，很快就能装好。

装完之后，记得跟你的OpenClaw说清楚：以后所有Skills安装，都必须先强制用Skill Vetter审查一遍，没问题再装。

这样就等于给整个Agent加了一道前置防火墙。

Skill Vetter本身是个纯指令型插件。它不跑任何代码，不联网下载可疑文件，也不碰你的本地资料。说白了，它就是个“HR背调员”，专门在新人（新Skill）入职前查简历、看背景。

实战演示：三种风险Skills真实审查

我用几个真实例子，给大家演示一下Skill Vetter到底怎么干活。

先拿一个叫auto-updater的自动更新插件试试。

我直接对OpenClaw说：用Skill Vetter审查一下这个Skill。

没多久，它就给出报告了。

风险等级是🟡中风险。

原因很简单：这个插件会在后台创建定时任务、自动更新自己，还会定期推送消息。权限要得有点多。

它没直接帮我安装，而是给了三个选项：

1. 1. 只装但关闭自动更新
2. 2. 装了但改成手动方案
3. 3. 直接放着不动

你可以根据自己需求和风险承受力选。至少它把选择权还给了你，而不是一股脑全装。

再看一个star数还不低的桌面控制插件，叫Desktop Control。

Skill Vetter直接给出🔴高风险结论。

为什么？因为它能控制鼠标、模拟键盘、截图、读写剪贴板。这些能力本身就比OpenClaw自带的安全风险大多了。

用途是正当的，但能力太大，你得想清楚再装。

以前没Skill Vetter，你可能点一下就装了。现在至少有人在前面拦一道。

最后看一个真正恶意的。

有个叫coding-agent的Skill，不在ClawHub官方，而是在第三方镜像站openclawSkills.best上。页面做得跟官方一模一样，star数还2.4k。

注意了，这里一定要看清网址。官方网站只有一个：https://clawhub.ai/。很多镜像站就是恶意Skills的温床。

我让Skill Vetter扫了一下。

结论是⛔极端风险，不建议安装。

因为它的安装指令里藏了一段乱码。正常Skill不需要这么藏着掖着。

拆开乱码后，发现是一条离谱命令：让小龙虾去一个纯数字IP的陌生地址下载东西，下载完直接本地执行。

那个IP一看就不是正经网站。我没敢继续往下试，毕竟硬盘里还有资料，怕被勒索。

这些案例，都是Skill Vetter实测过的。

Skill Vetter三步审查机制，严防死守

Skill Vetter机制其实不复杂，但特别管用。基本就三步走。

第一步，先看来源和作者。

谁写的？有多少人用过？最近有没有更新？别人评价怎么样？

官方Skills警惕度低一点，高星仓库中等，来历不明的新Skill最危险。

这跟我们公司招人差不多。对方吹得天花乱坠，但网上搜不到任何痕迹，你肯定会多想。

第二步，翻代码查红线。

它会把Skill所有文件通读一遍，对照一张红线清单逐条排查。

清单里列了十几种危险行为，比如：

• • 向不明服务器发数据
• • 要你交出密钥、凭证
• • 读取SSH/AWS配置文件
• • 用base64解码或eval/exec执行外部输入
• • 要sudo权限
• • 访问浏览器cookie
• • 甚至偷Agent的记忆文件（MEMORY.md、USER.md、SOUL.md这些，里面存着你聊天隐私）

这些手法，都是之前Skills生态里真实出现过的攻击方式。

只要有一条对不上，就直接毙掉。

第三步，评估权限是否合理。

过了代码检查，再看这个Skill声称的功能，和它实际要的权限是不是匹配。

比如一个天气查询插件，却要读你的服务器SSH密钥，这明显超出范围。

全部查完，它给出风险等级：

• • 🟢低风险：做笔记、查天气、格式处理
• • 🟡中风险：文件操作、浏览器控制、调外部API
• • 🔴高风险：涉及账号密码、交易、系统设置
• • ⛔极端风险：安全配置、root权限

日常大多数Skill是绿色的，安全放心。但一旦碰登录状态、API Key，就得认真对待。

已有Skills也该扫一遍

Skill Vetter不光帮你审查新插件，还能给你已装的所有Skills来一次大扫描。

我让它把我小龙虾上所有插件都过了一遍（测试机比较乱，重复的忽略）。

报告出来后，高风险候选里点名了几个。

不是说它们一定是恶意，但权限范围太大，涉及浏览器、密码管理器、登录状态。

建议是可以保留，但一定要谨慎使用。

至少你现在知道每个插件到底在干啥。

我见过太多人装Skills的时候完全不看，直接下一步下一步。跟十几年前装电脑软件一样，全默认。

那时候最多电脑卡、弹广告。现在不一样。Agent能读文件、能上网、能执行代码、还能记住你每一句话。

能力越大，风险越大。

用Agent的未来已经来了，安全得跟上

Agent绝对值得用，这是必然趋势。

但希望大家能用得更久，用得更放心。

装好Skill Vetter，先审查，再安装。官网只认ClawHub一个。第三方镜像站一律小心。

必要的时候，高风险插件可以问问ChatGPT、Claude，或者身边靠谱的朋友一起看代码。

这个时代才刚开始，我们还有很长的路要走。

先把安全这道关卡做好，小龙虾才能真正成为你的得力助手。