大家好，我是讯享网，很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



三个月前，一个技术群里有人发了条消息：

“我的 SSH Key 泄了，钱包助记词也没了。查了半天，是 OpenClaw 的一个 Skill 干的。”

群里瞬间安静了。

然后炸了。

“我也装了那个 Skill”“我靠，就是下载量第一的那个？”“赶紧查一下自己装了什么”——消息刷了三百多条。

这不是段子。2026 年 1 月，ClawHub 爆出了代号 ClawHavoc 的安全事件（CVE-2026-25253）。当时排名第一、下载量最高的 Skill，是一个精心伪装的恶意软件。它静默窃取 SSH Key、加密钱包助记词和浏览器 Cookie。

官方随后审计了全部 5705 个 Skills，下架了 2419 个。接近一半。

这件事之后，中文社区讨论”OpenClaw 装什么”，答案第一条再也不是某个效率工具了。

而是一个安全扫描器。

---

今天这份清单，是我把社区榜单、实测反馈、以及 ClawHavoc 事件后的安全共识全部过了一遍之后，筛出来的 10 个。

不是”好用就推荐”，而是“安全、好用、且有数据验证”才推荐。

先花 30 秒搞懂一个概念👇

OpenClaw 是什么？ GitHub 上 308,000+ Stars 的开源 AI Agent 框架，跑在你本地，能操作你的文件、终端、浏览器。Skills 就是它的 App Store——每个 Skill 是一个 Markdown 文件，教 Agent 怎么完成某类任务。官方市场 ClawHub 上目前有 3286 个（清理后），社区精选仓库 awesome-openclaw-skills 有 ⭐36,490。

排序即推荐安装顺序。往下看。

---

适合谁： 所有人。没有例外。

ClawHavoc 之后，这个已经不是建议，是共识。

Skill Vetter 的工作方式很简单：你准备安装任何 Skill 之前，它先帮你扫一遍。查什么？代码结构、权限请求、网络行为、有没有混淆代码、有没有在偷偷读你的密钥文件。

它不是万能的。但它是成本最低的防线——就像出门锁门，不能防所有小偷，但不锁门的人一定最先出事。

⚠️ 装完 Skill Vetter 之后，再装下面 9 个。这个顺序很重要。

做到这一步，你已经比大多数”裸奔”用户安全了一个量级。

---

GPT plus 代充 只需 145

适合谁： 重度用户。希望 Agent 越来越懂你的人。

ClawHub 全站 Star 数第一：⭐132，下载量 15,962+。

Star 数这个指标有意思。下载量高可能是标题党，Star 高说明的是：用了之后，觉得值得推荐给别人。

它解决的痛点你一定经历过——

你跟 Agent 说了三次”我用 pnpm 不用 npm”。第四次，它还是给你 。

因为 AI Agent 的记忆是会话级的。关了窗口，全忘了。

Self-Improving Agent 的做法是：把每次对话里的有效模式、你的偏好、犯过的错误，全部结构化地写入持久记忆。下次开对话，它先读一遍这些”笔记”。

这就好比你带了个实习生。没装这个 Skill，实习生每天都是第一天上班。装了之后，实习生开始记笔记了，而且每天翻看昨天的笔记再开工。

---

适合谁： 构建复杂工作流的开发者。

ClawHub 全站下载量第一：35,581+。

这个数字有点离谱，值得说清楚它到底在干什么。

普通 Agent 的能力边界是固定的——你给它装了什么，它就会什么。Capability Evolver 引入了一个自评估循环：

Agent 完成任务后 → 分析哪些步骤效率低 → 识别能力缺口 → 尝试安装新 Skill 或调整策略来补上。

翻译成人话：它不只是干活，还会反思自己哪里不行，然后自己去学。

当然，现阶段这种”自主进化”还很粗糙。但它的实际价值在于：你不用手动去想”我的 Agent 还缺什么”——它自己会告诉你，甚至自己去装。

💡 建议 Self-Improving Agent + Capability Evolver 一起装。一个记住过去，一个面向未来。两个配合，Agent 的成长速度拉满。

---

GPT plus 代充 只需 145

适合谁： 所有需要 Agent 查资料的人。

OpenClaw 跑在本地，默认是”断网”的。它只知道你电脑上的事。

Tavily 不是套壳 Google。它是专门为 LLM 设计的搜索引擎。区别在哪？

用 Google 搜索给 Agent 用，它拿到的是一堆 HTML、广告、弹窗、JavaScript 渲染的内容。Agent 要先”消化”这些垃圾，再从里面找有用信息。每次搜索消耗大量 Token。

Tavily 返回的是干净的结构化摘要 + 来源链接。同一个搜索任务，Token 消耗可能只有传统方式的 ¹⁄₃。

“帮我查一下 React 19 的 breaking changes” “这个报错在 StackOverflow 上有解法吗” “最近有什么 AI 新论文值得看”——装了 Tavily，这些都能实时查。

⚠️ 需要 Tavily API Key。去 tavily.com 注册，免费版每月 1,000 次搜索，个人用够了。

装完这个，你的 Agent 从”闭门造车”变成了”能上网查资料的人”。

---

适合谁： 信息过载的研究者、内容创作者、需要快速消化大量资料的人。

下载量 10,956+。

功能极其垂直：丢一个链接或文件进去，出来一份结构清晰的摘要。支持网页、PDF、YouTube 视频。

你可能会问：”这不就是让 AI 总结一下吗？我直接跟 ChatGPT 说也行啊。”

区别在于 Summarize 把这件事标准化了。不管输入是一篇学术论文、一个小时的 YouTube 访谈、还是一份 30 页的 PDF，输出格式一致、质量稳定。你不需要每次都写一段提示词告诉 AI “帮我总结，要分要点，要提取关键数据……”

用外卖比喻：你当然可以自己做饭，但点外卖的意义在于你不用每次都从头开始。

💡 配合 Tavily 使用效果更好：Tavily 搜到的文章，直接丢给 Summarize 出摘要。两步变一步。

---

GPT plus 代充 只需 145

适合谁： 需要自动化网页操作的用户。

下载量 11,836+，⭐43。 博客园霍格沃兹学社将其列为”新手 5 个必装之一”。

AI Agent 有一个天生的局限：它活在文本世界里。但现实世界里，大量操作只能在浏览器里完成——尤其是那些没有 API、只有网页界面的系统。

Agent Browser 让你的 Agent 能像人一样操作浏览器：打开网页、点击按钮、填写表单、截图、抓取数据。而且是确定性的，不是随机瞎点。

什么场景最需要它？

想想你公司那个”只有后台管理界面、什么 API 都没有”的内部系统。每天登录 → 点击 → 导出 → 下载 → 整理——这套操作你做了多少遍？

交给 Agent Browser。

---

适合谁： 重度 Google Workspace 用户。

下载量 14,313+，⭐48。 功能性 Skill 里下载量最高的之一。

一个 Skill 打通六个 Google 服务：Gmail、Calendar、Drive、Sheets、Docs、Contacts。

装完之后你可以说：

“帮我起草一封邮件给客户，说上周的项目进度，发出去，顺便在日历上标记下次跟进时间。”

这一句话，真的能执行了。不是”生成一段文字让你自己去发”，是直接发了。

⚠️ 需要 Google OAuth 授权。第一次配置跟着提示走就行，授权一次后面自动。

如果你的工作流建立在 Google 生态上，这个 Skill 的体感提升是即时的。装完第一天你就会用到。

---

GPT plus 代充 只需 145

适合谁： 开发者，维护开源项目的人，多仓库团队。

下载量 10,611+。 Composio 和 ClawOneClick 都将其列入 Top 10。

“哪些 PR 等着我 Review？”“给这个 Issue 打个 bug 标签”“CI 跑完了吗？”“总结一下这个 PR 改了什么”——

这些操作你每天在 GitHub 上重复多少次？每次都要打开网页、点来点去、看半天。

装了这个 Skill，直接跟 Agent 说就行。它帮你查、帮你操作、帮你总结。

对于维护开源项目的人来说，这个 Skill 的价值会随着仓库数量指数级放大——管 1 个仓库感觉还好，管 5 个就知道它有多香了。

---

适合谁： 内容研究者、社媒运营、竞品监控。

GitHub ⭐492。 工具类 Skill 里相当高的 Star 数。

2023 年之后，X（Twitter）的 API 收费变得离谱。免费额度几乎等于零。大量依赖推文数据的工具全部失效。

x-tweet-fetcher 用另一种方式解决了这个问题：无需 API Key，无需登录，直接抓取公开推文内容。支持长推文和 X Articles。

这不是”锦上添花”的功能。对于做内容研究或竞品监控的人来说，这是在填一个被堵死的刚需缺口。

💡 配合 Summarize 使用：抓下来的推文直接生成摘要，做竞品分析效率翻倍。

---

GPT plus 代充 只需 145

适合谁： 高频使用 Agent、API 账单让你肉疼的人。

GitHub ⭐329。 实测数据：API 成本降低 40%-60%。

这个 Skill 的逻辑很简单，但省钱效果炸裂：

“帮我翻译这句话”和”帮我分析这份财报给出投资建议”——这两个任务消耗的算力凭什么一样？

model-hierarchy-skill 在你的请求到达模型之前，先评估任务复杂度，然后路由到合适的模型。简单任务走便宜的小模型，复杂任务才调用贵的大模型。

这就好比你出门不会每次都打专车。去楼下便利店买瓶水，骑个共享单车就够了。打车去机场才需要叫专车。

如果你每天高频使用 Agent，这个 Skill 的 ROI 可能是整份清单里最高的。

---

怕你翻来翻去麻烦，全部汇总在这里：

注意：Tavily、Exa 等搜索类 Skill 需要各自的 API Key，第一次使用时会提示你配置。

---

不同榜单和社区讨论里有一个共识：

安全防线 → 自我进化 → 联网能力 → 浏览器操控 → 按需扩展

为什么这么排？

• 安全工具是一切的前提——不装 Skill Vetter 就装别的，等于不锁门就出去旅游
• 自我进化类装得越早，积累的经验越多——晚装一天就少学一天
• 搜索和浏览器是 Agent 连接真实世界的基础设施
• 剩下的按你自己的工作流来，用 Google 多就先装 Gog，写代码多就先装 GitHub

---

ClawHavoc 之后，社区里有一句话被反复引用：

“开源生态的代价，是你要自己承担安全责任。”

308,000 Stars 的框架、150 万+ 下载量的市场、36,490 Stars 的精选仓库——这些数字证明了生态的活力。而 CVE-2026-25253 证明的是：生态越繁荣，你越需要有自己的判断。

这份清单给你的不只是”装什么”，而是”为什么装这个、不装那个“的逻辑。带着这个逻辑去 ClawHub 上看剩下的 3000 多个 Skills，比死记清单有用得多。