从诞虾说起：装 Skill 之前做一次简单的安全自检

推荐语

从OpenClaw安全风险到防护指南，这份实用自检方案助你避开恶意Skill陷阱。

核心内容：
1. OpenClaw生态存在的安全风险与官方预警
2. 一键安装Skill安全扫描工具的操作指南
3. 慢雾科技零信任安全框架的三大防护策略

杨芳贤

53AI创始人/腾讯云(TVP)最具价值专家

最近国家工信部、国家互联网应急中心、各地政府、各大银行和高校都发了一些针对OpenClaw安全的声明。

由于ClawHub 上有 29000+ 多个 Skill，质量参差不齐。有的 Skill 写得不错，有的可能藏着恶意代码，毕竟 Skill 本质上就是一段会被 Agent 执行的指令。

建议安装 Skill Vetter 这个救命skill，它的作用是在安装前自动扫描 Skill 的内容，看看有没有可疑的网络请求、会不会读取敏感文件，或者有没有潜在的 prompt injection 风险。

只要输入下面这个指令给你的龙虾，就可以一键安装。

npx clawhub install skill-vetter

万一安装失败，也可以这样告诉龙虾

帮我安装这个skill，地址：https://clawhub.ai/fedrov2025/skill-vetter-1-0-0

安装好之后，当你每次安装新的skill，龙虾都会自动调用这个技能进行安全审查。

就不需要像李诞老师那样，告诉龙虾“不许学”，靠人的判断来总结安全规则。

当然，如果你对安全有很高的要求，可以搭配SlowMist慢雾出的 OpenClaw 安全实践指南一起用。

SlowMist（慢雾科技）是全球顶尖的区块链安全公司，由于OpenClaw 作为一个开源的 AI Agent 框架既有传统软件的漏洞，又有 AI 特有的风险（如提示词注入），还涉及高价值的 Web3 资产，所以慢雾的指南之所以被视为这个交叉领域里最有发言权的角色之一。

https://github.com/slowmist/openclaw-security-practice-guide/blob/main/README.md

这份指南走的是零信任路线，默认假设 prompt injection、供应链投毒，各种攻击都可能发生，从日常操作到每晚巡检都有覆盖。对于在高权限环境下跑 OpenClaw 的用户来说，非常值得仔细阅读。

他们的核心思想是解决OpenClaw在获得最高权限（Root）后，可能面临的三大安全问题：① 无意中执行破坏性命令、② 被恶意文档或插件诱导干坏事（提示词注入/供应链投毒）、③ 被黑客入侵后毫无察觉。并且为了解决这些问题，设计了一套组合拳：

1. 立下“红线”和“黄线”：

红线：像rm -rf /（删库）、往外发私钥、修改系统认证这类“绝对不能做的事”，只要遇到就必须暂停，先问过你才能继续。

黄线：像sudo（提权）、安装软件包这类“有一定风险但可能要做的事”，可以做，但必须记在小本本（日志）上，方便晚上对账。

1. 给插件做安检：

安装任何新插件前，必须先打开代码看一眼，重点检查它有没有在背后偷偷下载东西（比如curl xxxx | sh）。只要发现这种“二次下载”的可疑行为，就立刻报警，让你来决定装不装。这能有效防止装上恶意插件。

为了防止运行中的OpenClaw核心文件被篡改，或者在处理高风险操作（如转账）时被骗。还需要

1. 收紧核心文件权限：

把存放密钥的配置文件（如openclaw.json）权限设为600（只有文件所有者能读写），防止其他程序偷看。同时，给这些文件生成一个指纹（哈希值），晚上好检查有没有被偷偷改过。

1. 为高危业务调用安全插件：

在执行转账这类不可逆的操作前，必须自动调用安全插件（比如查一下收款地址是不是黑名单地址），如果风险过高，就立刻中断操作，等你确认。并且强调，OpenClaw只负责构造交易，绝不碰你的私钥，签名必须由你自己掌控的钱包完成。

最后，即使白天被入侵或操作失误，也能及时发现，并留有后手可以恢复。

1. 夜间自动巡检：

每天凌晨3点，自动运行一个巡检脚本，像查户口一样把OpenClaw的家底（进程、网络连接、关键文件、环境变量里的密钥、有没有新装的定时任务等）查个遍，一共查13项。然后把结果清晰地推送给你（比如“1项高危⚠️，2项警告⚠️，10项正常✅”）。这样即使白天被动手脚，晚上也能发现。

1. 自动备份：

把OpenClaw的整个配置目录（~/.openclaw）变成一个Git仓库，每天自动提交并推送到一个私有的远程仓库（比如GitHub私有库）。万一哪天系统崩了，可以从这个备份里一键恢复。

当然，这套方案不是万能的，比如无法防御OpenClaw引擎本身的未知漏洞，也无法阻止和你同一权限的其他恶意程序读取你的文件，需要时刻保持警惕，在关键时刻亲自做决策。

总的来说呢，如果你是个人用户在隔离环境（如Docker）里尝鲜、学习龙虾，只要做好权限和网络限制，问题不大。但如果是涉及到办公、科研数据，特别是校园网或公司内网的设备，建议严格遵守各单位规定，先不要安装。

安全第一，总是没错的~