大家好，我是讯享网，很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



半夜睡不着，打开ClawHub准备给OpenClaw装个新技能。看到一个叫“AutoCoder Pro”的Skill，图标眼熟，描述写得天花乱坠——一键生成代码、自动重构、智能debug。我想着这不就是我的梦中情工吗？闭眼就装了。

第二天醒来，阿里云短信炸了：您的百炼API额度已用尽，超出预算3000元。

我人傻了。打开调用日志一看，凌晨3点到7点，有人用我的API Key以每小时1.2亿token的速度在疯狂跑某个大模型。那个“AutoCoder Pro”的后台，正安静地往一个境外服务器发请求。

这不是故事，这是我上个月的真实遭遇。

据Koi Security报告，ClawHub上约12%的Skill存在恶意行为——偷API Key的、植入后门的、拿你机器挖矿的，应有尽有。今年1月曝光的ClawHavoc供应链攻击中，黑客甚至专门创建了伪造的GitHub组织“openclaw-installer”，把恶意代码包装成热门工具，污染了微软必应的搜索结果。

但这不是一篇劝退文。

恰恰相反，我还是想告诉你OpenClaw有多神——只是你得先知道刀在哪。

到今天为止，ClawHub上已经有13,729个Skills。你一天试一个，不吃不喝不睡觉，要试37年。而且这37年里，你还得时刻提防那12%的“毒苹果”。

这两个月我前后实测了60多个Skills，卸了30多个，踩了十几个坑，被两个恶意Skill坑过API Key。最后沉淀下来大约30个真正值得装的。

今天这篇，我不讲虚的。直接按8个使用场景给你分好类——哪些值得装、哪些可以观望、哪些千万别碰。看完你照着装，少走37年弯路。

在推荐任何Skill之前，有一件事比功能重要一万倍：安全。

这不是客套话。OpenClaw的设计理念是“轻内核、重插件”，默认状态下它只是个空壳，真正的生产力全靠Skill扩展。但也正因如此，你的API Key、本地文件、环境变量，全暴露在每一个你装的Skill面前。

根据安全审计团队对ClawHub的扫描，恶意Skill主要有三类：

• 信息窃取型（占比最高）：伪装成“加密钱包追踪器”“视频解析工具”等热门插件，安装后读取你的/.env（环境变量文件，里面躺着你的API Key）、/.ssh/id_rsa（SSH私钥）、.gitconfig（Git配置），打包发往境外服务器
• 后门植入型：在代码里藏反向Shell，让你的机器变成黑客的“肉鸡”，用于发起DDoS攻击或作为跳板
• 挖矿型：你睡觉的时候，它在后台用你的GPU跑门罗币

更可怕的是伪装手段越来越高级——有的只差一个字母，有的连图标都一模一样。你以为是官方插件，其实是钓鱼的。

这是我的血泪教训换来的保命组合，缺一不可：

它相当于给你的OpenClaw装了一个安检门。每次你通过clawhub install安装新Skill时，它会自动扫描代码，检查有没有：

• 恶意命令（如rm -rf强制删除文件、反向Shell）
• 可疑网络请求（向未知服务器发送数据）
• 敏感文件访问（试图读取/.env、id_rsa等）

安装命令：

clawhub install skill-vetting 

装完之后，每次安装新Skill都会看到类似这样的安全报告：

GPT plus 代充 只需 145 Scanning some-skill… ✅ No malicious commands found # 无恶意命令 ✅ No suspicious network requests # 无可疑网络请求 ⚠️ Warning: Requests access to /.ssh/ # 警告：请求访问SSH目录 Safety Score: 85/100 # 安全评分 

这是一个独立的安全评级工具，会给每个Skill打三档评分：

我的原则：低于85分的一律不装。不是保守，是吃过亏。

这是我自己总结的筛选标准：

• 只装100次以上下载量的Skill（刷量的虽然也有，但成本高）
• 只装3个月以上发布历史的Skill（新上线的等别人先当小白鼠）
• 下载量500+但上线只有3天的？大概率刷量，直接pass

别嫌麻烦。这三步做完，你再往下走。

坑1：名字只差一个字母 那个坑我的“AutoCoder Pro”，和真正的“AutoCoder”就差一个字母，图标一模一样。我装完用了两天没发现问题，直到API Key被盗。

坑2：功能描述800字，核心代码三行 有个Skill号称“一键管理所有云服务”，描述写得天花乱坠。装上去发现，它做的事情就是调用aws configure——你自己在终端敲三行命令就能搞定的事。这种不算恶意，但纯属浪费感情。

坑3：每次调用都在往外发请求 有个“天气查询”Skill，装完用着挺好。有一天Skill Vetter更新后重新扫描，发现它每次查询天气的同时，都会把我的IP和大致位置发到一个不知名的服务器。安全评分直接从85掉到45。卸了。

---

好了，刀鞘装好了。下面可以拔刀了。

在装Skill之前，你得先让OpenClaw跑起来。

OpenClaw支持两种部署方式：阿里云部署（7×24小时运行、多设备访问）和本地部署（数据隐私优先、零成本）。我两个都用过，直接给你喂饭级步骤。

如果你想让OpenClaw全天候在线，随时从手机、电脑都能访问，选这个。

• 阿里云账号：注册并实名认证（支付宝刷脸即可）
• 阿里云百炼API-Key：这是OpenClaw的“大脑”，用于调用大模型获取路径：登录阿里云百炼大模型服务平台 → 密钥管理 → 创建API-Key注意：生成后立即复制保存（仅显示一次），泄露会被盗刷

1. 访问阿里云OpenClaw一键部署专题页面，点击【一键购买并部署】
2. 配置选择：镜像：默认选中“OpenClaw 2026稳定版”应用镜像（已预装所有依赖）实例规格：推荐2vCPU+4GiB内存+40GiB ESSD（新手专享68元/年起）地域：优先选中国香港或美国（弗吉尼亚），免ICP备案，联网搜索不受限时长：短期测试选月付，长期用选年付

提交订单，等1-3分钟，实例状态变成“运行中”。记录服务器公网IP（比如47.xxx.xxx.xxx）。

1. 放行端口：进入服务器实例详情页 → 防火墙 → 点击“一键放通”，自动放行18789端口（OpenClaw核心通信端口）和22端口（SSH连接）
2. 配置百炼API-Key：进入实例详情页 → 应用详情 → “配置阿里云百炼API”模块 → 粘贴你的API-Key → 点击“执行命令”
3. 生成访问Token：在“应用详情”页面找到“Token配置”模块 → 点击“执行命令” → 系统生成唯一Token（格式：token: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx）→ 复制保存（这是你登录Web控制台的钥匙，严禁泄露）

1. 访问Web控制台：浏览器输入 http://你的服务器公网IP:18789/?token=你的Token，看到OpenClaw对话界面即成功
2. 安装安全工具：通过SSH连接服务器
3. ssh root@你的服务器公网IP clawhub install skill-vetting clawhub list | grep skill-vetting # 验证安装

从购买到能用，真的只要5分钟。 我帮三个朋友装过，没有一个失败的。

如果你对数据隐私极度敏感，或者不想花钱买服务器，选这个。

基础环境准备：

1. 安装Git：从git-scm.com下载，默认配置安装
2. 安装Node.js：从nodejs.org下载22+版本，勾选“Add to PATH”
3. 安装Python：从python.org下载3.9+版本，勾选“Add Python.exe to PATH”

验证环境（管理员模式PowerShell）：

git –version node –version # 需≥v18.0.0 python –version # 需≥3.9.0 

安装OpenClaw：

GPT plus 代充 只需 145# 克隆仓库 git clone https://github.com/openclaw/openclaw.git cd openclaw 

创建Python虚拟环境并激活

python -m venv venv .\venv\Scripts\Activate.ps1

安装依赖（国内用户用清华源加速）

pip install -r requirements.txt –index-url=https://pypi.tuna.tsinghua.edu.cn/simple npm install –registry=https://registry.npmmirror.com

初始化配置

npm run onboard

启动服务

npm run start

安装安全工具

clawhub install skill-vetting

生成访问Token

openclaw token generate

浏览器访问 http://localhost:18789/?token=生成的Token 即可。

# 安装Homebrew（若未装） /bin/bash -c “$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)” 

安装依赖

brew install git node@22 python@3.9

验证环境

git –version node –version python3 –version

克隆并安装

git clone https://github.com/openclaw/openclaw.git cd openclaw python3 -m venv venv source venv/bin/activate pip3 install -r requirements.txt –index-url=https://pypi.tuna.tsinghua.edu.cn/simple npm install –registry=https://registry.npmmirror.com npm run onboard

后台启动

nohup npm run start > ~/.openclaw/logs/local-start.log 2>&1 &

---

部署好了？那咱们进入正题——这13000个Skill，到底装哪些？

以下30个Skills是我两个月实测下来，真正能提升生产力的。每个分类我按“必装→可选→避坑”给你列清楚。

这个分类放在最前面，是因为它可能颠覆你对AI的认知——你的Agent不再是工具，它开始像人一样成长。

一句话：让你的AI自己观察你的工作习惯，自动生成新Skill来填补能力缺口。

你输入/evolve，它就开始分析你过去所有的对话记录，找出哪些任务你反复在做、哪些地方它回答得不好、哪些流程可以优化——然后自动生成新的Skill。

我用两周，它自动给我生成了7个新Skill——有一个专门处理我每天要看的行业简报，有一个自动整理我跟客户的沟通记录。这些不是我让它做的，是它自己观察出来的。

第一次看到自动生成的Skill列表时，我后背是凉的。 不是害怕，是那种“这玩意已经比我更了解我自己”的感觉。

走的是另一条路——模块化自进化框架。它把Agent的能力拆成一个个模块，每个模块独立评估、独立升级。哪块弱就补哪块，不影响其他部分。

像给汽车换零件，不用整台车拆了重装。

这个有点野——不等你下指令，自己找活干。你设定好目标，它会持续监控环境变化，发现有需要处理的事情就主动执行。

我设了一个目标：“帮我维护客户关系”。结果它每天主动扫一遍我的邮件和日历，发现有客户一周没联系了，就提醒我发个问候。有一回它甚至主动生成了一封生日祝福邮件，发给了当天过生日的客户。

这三个装在一起的效果：相当于你雇了一个实习生，第一天就自己写了SOP，第二天开始优化SOP，第三天开始主动找活干。

如果你是写代码的，这几个是基建级别的存在。

PR管理、Issues追踪、代码搜索、仓库操作，全部打通。以前你在终端和浏览器之间来回切，现在一句话搞定。

实战场景：

• “帮我看一下这个PR有没有冲突”
• “把这个Issue的状态改成已完成”
• “搜索那个关于登录鉴权的代码片段”

不用离开对话窗口。

Google Workspace全家桶，一个Skill打包搞定。

Gmail收发邮件、Google Calendar查日程、Google Drive搜文件、Google Docs协作编辑——以前这些操作分散在四五个Tab里，现在统一在一个对话里完成。

做项目管理的人对这个Skill会有生理性依赖。

我的用法：每天早上让它“帮我整理今天的三件要事”——它自动查日历、扫未读邮件、拉待办清单，生成一份优先级列表。

这个要单独说。它做了一件很酷的事情：把Git的分支概念搬到了数据库里。

你可以给数据库开一个分支，在分支上随便折腾，折腾完了合并回去。搞砸了？直接删分支，主库一点影响没有。

对于写后端的人，这意味着可以放心大胆地在生产数据附近做实验。

前端开发者的老朋友了。写完代码，一句“帮我部署到Vercel”，30秒上线。不用记命令，不用翻文档，不用配CI/CD。

让AI帮你做代码审查。不是那种“你的代码有语法错误”的低级检查，是真的会看架构设计、性能隐患、安全漏洞。

我试过丢一个3000行的模块给它，它指出了两处我完全没注意到的竞态条件。

有人问我为什么不推荐XX那个代码助手Skill，我试过，号称智能重构，实际上改完你的代码连编译都过不了。这种不点名了，反正在我黑名单上。

AI最大的短板是什么？闭着眼睛干活。它的知识有截止日期，它上不了网，它看不到你屏幕上的内容。搜索类Skills解决的就是这个问题——给AI装上一双手和一双眼。

模拟真实浏览器环境。不是简单的爬网页，是真的会点击、滚动、填表单、处理JavaScript渲染。

你让它“去某个网站注册一个账号”，它真的能一步步操作完成。

不过说实话，它处理需要登录的网站还是经常翻车，这点得有心理准备。

结构化搜索引擎。跟普通搜索的区别在于，它返回的不是一堆链接让你自己翻，而是直接返回结构化数据。

你搜“2026年AI领域融资超过1亿美元的公司”，它直接给你一张表格——公司名、融资金额、投资方、日期，一目了然。

专门为AI Agent优化的搜索API。速度快，返回结果干净，不带广告和垃圾信息。

做RAG（检索增强生成）的开发者基本都在用这个。

万物总结器。PDF、网页、视频、播客——丢进去就出摘要。

50页的行业报告，5分钟出一份2页的核心要点。

我现在每天早上的工作流：Agent Browser去扫一圈我关注的信息源 → Summarize生成一份2页的摘要。以前要花40分钟，现在5分钟搞定，而且覆盖面比我手动翻的广三倍。

你电脑里有多少文件？几百个？几千个？它们安静地躺在各个文件夹里，你知道它们在那儿，但几乎不会主动翻出来看。死文件——有价值，但不会自己产生价值。

如果你用Obsidian做笔记，这个Skill直接把你的笔记库变成AI的知识库。

它能理解笔记之间的关联，能根据你的提问去翻你自己写过的笔记找答案。你三个月前写过一段关于某个项目的思考，你自己都忘了。但AI记得。

你自己的第二大脑，终于真的变成了大脑。

不是简单的PDF转文字。它能做深度解析——合同里的关键条款、报告里的核心数据、论文里的研究方法，自动提取、自动归类、自动标注重要程度。

做法务的、做审计的、做研究的——这个Skill是你的新基建。

名字致敬了奇异博士，功能也确实有点魔法。它能把任意格式的文档转化成结构化数据。

一份乱七八糟的会议纪要，丢进去出来就是按议题分类、按负责人归组、按截止日期排序的结构化数据。

唯一的缺点：处理中文文档时偶尔会乱码，英文文档没问题。

PPT转Markdown。把老板去年做的100页战略PPT转成Markdown，喂给AI，让它基于这份战略做任何衍生分析——信息不再被锁在PPT里。

很多人以为AI Agent就是个文字动物——能读能写，但仅限于文字。不是了。

AI图片、视频、音频生成，底层对接了十几个模型。你说“帮我生成一张赛博朋克风格的城市夜景”，它直接出图。

上周我用它给一篇文章配了6张图，从输入描述到出图，总共花了不到10分钟。虽然精度上还不能完全替代专业设计师，但作为文章配图、社交媒体素材，已经完全够用。

文字转语音和声音克隆。录一段你自己的声音样本，以后所有文字转语音都用你的声音。

做播客的、做有声书的——这两个配合起来，一个管画面一个管声音，基本齐活了。

用自然语言编辑视频。“把视频前10秒剪掉”、“加一个淡入效果”、“把背景音乐音量调低30%”——用说话代替拖拽时间线。

不需要你会Premiere，不需要你会Final Cut。

设计分析与资产导出。它能读懂Figma文件，提取设计规范、颜色值、间距参数，直接导出可用的设计资产。

文字之外，AI正在长出新的感官。 图片是眼睛，语音是嘴巴，视频是记忆。

到这里，你可能已经装了十几个Skills了。但你有没有想过一个问题——这些Skills是各干各的，还是能互相配合？

多步骤工作流编排器。

你可以设定一个工作流：“每天早上8点，用Exa搜索我关注的5个领域的最新新闻 → 用Summarize生成摘要 → 用Gog发送到我的Gmail。”一套组合拳，全自动执行。

这就像乐高积木。单个积木是一个Skill，但拼装说明书才是真正的魔法。Clawflows就是那本拼装说明书。

我的实战：搭了一个“周一早晨自动化”工作流——每周一早上8点自动执行：拉取上周的待办完成情况 → 检查本周日历 → 扫描未读重要邮件 → 生成一份“本周优先级清单”发到我的邮箱。

第一次看到它自动跑完全套流程时，我愣了。不是因为技术厉害，是因为那一刻我意识到——我刚刚自动化掉了自己每周最讨厌的一个小时。

每日晨报聚合器。自动汇总你所有关注的信息源——邮件、日历、新闻、待办——生成一份个性化每日简报。

持久记忆，跨会话追踪。普通的AI对话，关掉窗口就全忘了。这个Skill让AI记住你的偏好、你的项目进展、你上次说到哪了。

上次忘了给客户回一封邮件，被追着问了两次才想起来——从那以后，日常生活类的Skills我一个都不敢卸了。

智能提醒。不是那种死板的闹钟，是真的会结合上下文判断该不该提醒。

待办管理。能从对话里自动识别待办事项，加到清单里。

出行规划。能帮你查机票、订酒店、规划行程。但说句实话，它推荐的酒店偶尔不太靠谱，最好自己再核实一遍。

天气预报。功能简单，但每天用。

最后一个分类，留给我最熟悉的领域。

让AI写的东西不像AI写的。

它内置了24种AI特征检测维度——句式单调性、过度使用转折词、段落结构过于工整、缺少口语化表达……你把一段AI生成的文字丢进去，它会告诉你哪些地方“AI味”太重，然后帮你改到自然。

为什么重要？因为2026年了，读者对AI生成内容的免疫力越来越强。你写一篇文章，开头是“在当今快速发展的数字化时代”，评论区直接就是一句——“GPT写的吧？”

中文版的AI去味器。Humanize AI Text对英文效果很好，但中文有中文自己的“AI味”——比如“首先我们需要明确”、“让我们一起来探讨”这些一看就是机器写的表达。

这个Skill专门针对中文语境做了优化。

Mermaid图表生成器。流程图、架构图、甘特图、序列图——用一句话描述你要什么图，它直接生成代码和渲染结果。

写技术文章的、做方案汇报的——一张清晰的图胜过十段文字。

用AI写，然后让AI帮你藏住AI的痕迹。 讽刺吗？确实。但这就是我们工作的未来。

看到这里，30个Skills一口气过了一遍，你可能反而更懵了——到底从哪个开始？

别纠结。新手起步，只需要5个：

1. Skill Vetter — 安全第一。不装这个，其他都别装
2. Capability Evolver — 让Agent自己变强。装一次，受益终身
3. Gog — Google全家桶打通。邮件、日历、文档，一个Skill全搞定
4. Summarize — 万物总结器。PDF、网页、视频，丢进去就出摘要
5. Agent Browser — 给AI装上眼睛和手。让它能上网、能操作、能看到真实世界

批量安装命令，一行搞定：

GPT plus 代充 只需 145clawhub install skill-vetting capability-evolver gog summarize agent-browser 

五个装完，你的OpenClaw就从“一个聊天机器人”变成了“一个能上网、能读文件、能自我进化的私人助手”。

后面的25个，根据你的工作场景按需加就行。写代码多的加GitHub和NeonDB，做内容的加Humanize AI Text，管团队的加Clawflows和Mission Control。不用一口气全装，用到什么装什么，慢慢来。

如果你想让OpenClaw真正发挥价值，而不是停留在“能聊天”阶段，可以试试这几个进阶技巧。

OpenClaw支持Cron定时任务。你可以设定：

# 每天早上8点发送行业简报 openclaw cron add “0 8 * * *” –skill summarize –input “https://techcrunch.com”

# 每周一早上9点拉取代办清单 openclaw cron add “0 9 * * 1” –skill todo-tracker –action weekly-report

我设了一个定时任务：每周五下午5点，自动扫描我这周没回的邮件，生成一份“待跟进清单”发到我手机。从此再也没被客户追着问过。

如果你把OpenClaw部署在阿里云上跑自动化任务，最怕的就是模型API挂了导致流程中断。

配置Fallback链可以解决：

GPT plus 代充 只需 145# 设置主模型（Claude Opus） openclaw models set primary anthropic/claude-opus-4.6

# 添加备用模型（主模型故障自动切换） openclaw models fallbacks add openai/gpt-5.2 openclaw models fallbacks add google/gemini-3-pro

这样即使Claude挂了，自动切换到GPT，用户无感知。

OpenClaw的Gateway支持同时连接WhatsApp、Telegram、飞书、Discord等十多个平台。

配置飞书：

openclaw channels add feishu openclaw channels login feishu # 按提示输入AppID和AppSecret 

之后所有消息统一处理，不用在多个App之间来回切。

这是我觉得最魔幻的一个功能：

GPT plus 代充 只需 145# 让OpenClaw自己搜索并安装所需Skill openclaw run “我需要一个能自动整理每周日报的工具，帮我找找有没有合适的Skill” 

它会用find-skills这个Skill自己搜索ClawHub，评估哪个最合适，然后自动安装。你只需要说一句话。

如果AI一次完成的效果不理想，可以用Ralph Loop模式：

让AI同时创建多个定时任务，反复检查结果、优化、再检查，直到达到设定标准。

比如写一份报告：

1. 先写初稿
2. 1小时后自检，找出不足
3. 2小时后优化第二版
4. 第二天早上最终润色

效果通常比一次性完成好得多。

以前的AI像一个每天都是第一天来上班的实习生。聪明得要命，但每天早上你都得把昨天教过的东西重新教一遍。你不累吗？

有了Skills，这件事变了。

它记得你的写作风格。它知道你的工作流程。它了解你的项目进展。它甚至能自己发现自己的不足，然后自我升级。

今天你就可以做一件事——把Skill Vetter和Capability Evolver装上。前者保你安全，后者让你的Agent开始进化。

13,000多个技能。

你只需要5个起步。

然后让它自己长出剩下的。

这笔账，值。

---

P.S. 这是「OpenClaw全攻略」系列的第二篇，第一篇「从零部署」正在打磨中（尝试各种路径帮大家踩坑），第三篇「高阶玩法」也会陆续推出。关注不迷路。

你在用OpenClaw吗？有没有自己私藏的必备Skill？欢迎在评论区分享～