最近这段时间，只要我发关于OpenClaw的文章，评论区必有人在问同一件事。

就是安全问题。

里面其实提到一个目前我觉得最重要的事。

就是功能插件（Skills）投毒风险。

因为大家都知道，小龙虾的能力强与弱，很多时候，就是看你安装的那些Skills怎么样。

如果你把一个一个的Agent当做用户的话，那其实Skills就很像给一个一个的Agent所用的APP或者是应用。

也是我们目前看到的，最大的安全风险来源之一。

真不是危言耸听，这些事情已经实实在在发生过很多次了。

OpenClaw官方公开过多个被举报为恶意的Skill，且官方仓库也留下了相关安全讨论和记录。

而且这些恶意Skills伪装得都很好。

OpenClaw有一个官方的Skills商店，名叫ClawHub。

网址：https://clawhub.ai/

之前这里面有个用户叫hightower6eu。

发了一堆看着挺正常的Skill，加密分析、金融追踪、社交媒体分析、自动更新。

什么都有，还挺活跃。

但官方把他发的Skill挨个检查后。

314个skills，全是恶意的，一个无害的都没有。

这些Skills的套路都一样。

装完之后，它会让你的小龙虾跑去一个陌生地址下载东西，然后直接在你电脑上执行。

说是在帮你做初始设置，但下载下来的是什么，你完全不知道。

这种行为，就跟很多年前的电脑病毒非常像。

所以今天这篇，就想给大家安利一个我觉得在你使用任何Agent，无论是小龙虾OpenClaw、还是Claude code、Codex等等，都必装的一个我觉得最有用的Skills。

叫Skill Vetter。

这东西，基本就是任何朋友问我怎么把控安全问题，或者要装什么skills，我永远推荐的第一个必备的SKills。

它的作用特别简单，就是在你装任何Skill之前，先帮你把那个Skill审查一遍，给你出一份报告，告诉你这东西能不能装。

非要说作用，就非常像你电脑时代用的杀毒软件或者安全管家。

大家绝对不要迷信各种所谓的下载量。

一定要清楚，下载量大 ≠ 非恶意。

所以，进行一遍安全审查，是绝对有必要的。

安装这个skill也很简单，我还是推荐使用ClawHub的渠道来源进行安装，因为方便管理和维护。

安装就一行老命令：

对，就一句话。

然后你的Agent，就会自己去下载了。

很快，就装好了。

你可以跟你的Openclaw说，以后所有的Skills安装，都强制使用Skill-vetter进行审查一遍，没问题了才安装。

我用一个叫auto-updater自动更新的Skill来试一下，演示给大家看看效果。

比如我跟OpenClaw说：

在一会之后，它就会给你回应了。

风险等级是🟡中风险。

因为扫出来这个Skill会在后台创建定时任务、自动更新自己，还会定期推送消息。

它可能没有恶意，但要的权限有点多。

所以它只是帮我下载下来了，但是并没有直接帮我安装，而是给了我三个选项：

只装不启用自动更新、装了但改成手动方案、或者直接放着不动。

你可以根据自己的需求和风险偏好程度，进行自由选择。

还有一个ClawHub上的桌面控制的Skill，叫Desktop Control，star数还不低。

而这个Skill，Skill-Vetter给它的结论是🔴高风险。

很危险，但是用途是正当的。

毕竟因为这东西能做的事太多了。

控制鼠标、模拟键盘、截图、读写剪贴板，有一个算一个，都是比OpenClaw本身的安全风险都要大。

不需要有恶意，光是有这个能力，就已经需要你想清楚再装了。

以前没有Skill Vetter，你可能就是直接就装了，因为没有任何人提醒你任何东西，但是至少现在，有人帮你在前面拦一道。

上面这两个skill，其实都是风险大，但是本身意图是没有恶意的skill。

我再给大家看一个，真正有恶意的。

一个叫coding-agent的Skill。

这个Skill其实不存在ClawHub官方仓库里，而是在一个第三方镜像站openclawSkills.best上。

页面做得很正经，就像官方一样，star数2.4k。

所以这块也一定要注意，一定要看清楚，是不是官方的网站。

官方网站只有一个：https://clawhub.ai/

很多的镜像站，都是恶意skills最核心的来源。

这个skill我直接让Skill Vetter扫了一下。

结论是⛔极端风险，不建议安装。

因为这个Skill的安装指令里，有一段看着完全看不懂的乱码。

正常的Skills不需要这么做，你想写什么直接写就行了，没有理由把内容藏起来。

那段乱码拆开以后，你就能发现，是一条离谱的命令。

让你的小龙虾去一个陌生地址下载东西，下载完以后，直接在你电脑上运行。

那个地址我看了下，肯定就不是啥正经网站了，就是一串纯数字IP，很离谱。

至于这个最后下载完了，你的电脑会变成什么样，我就没有继续试下去了……

毕竟，我硬盘里还有很多学习资料呢，我怕被勒索……

Skill Vetter本身，就是一个纯指令型的Skill。

它自己不会跑任何代码，不联网，不动你的文件。

就挺像你公司的HR的，会在新人入职之前，先帮你做一轮背调，看看简历啥的有没有造假，目的是不是单纯……

Skill Vetter本身的机制也并不是特别复杂，但是会特别有效。

基本就是三步。

第一步是先看这个Skill来自哪，谁写的。

作者是谁，有没有人用过，用过的人有多少，最近有没有更新，有没有其他人评价过。

背后其实是一套信任层级，跟我们在公司里招人其实差不多。

官方Skills警惕度低一点，高星数仓库中等，来历不明的新Skill最警惕。

毕竟真的，信任这东西，是需要时间积累的。

一个昨天刚传上来、从来没人用过的Skill，和一个用了两年、几万人装过的Skill，从风险角度来说，它其实不在一个量级。

就像雇人，对方说自己经验丰富，本科211硕士海外留学，做过XX项目拿了无数的奖，吹的天花乱坠，但你一想，明明都是名人了，网上搜不到任何关于他的信息，这肯定就不对了对吧。

第二步，就是翻一下代码，看看代码里面是不是正常的，有没有藏一些东西。

这一步其实就是最关键的了。

它会通读skill的所有文件，然后对照一张红线清单逐项排查，但凡有一条对不上的，就直接毙了。

这张清单列出了十几种危险模式，包括：

向不明服务器发送数据、要求你交出密钥和凭证、读取你的 SSH/AWS 配置文件、用base64 解码、用eval/exec执行外部输入、要sudo权限、访问浏览器cookie等等。

这些基本全都是之前各种各样的Skills生态里面出现过的攻击手法。

还有一个最有意思的，也是后面才出现的。

就是去偷Agent的记忆文件。

大家其实知道现在包括OpenClaw之类的产品，能记住你是谁，跟你互动，本质上都是记忆文件的功率，他会把你两的一些比较重要的聊天记录，放在聊天记忆里面，这些坦率的讲，还是存了无数的隐私信息的。

现在有些恶意的Skills，直接强制的会去读你的记忆文件，比如MEMORY.md、USER.md、SOUL.md等等。

也是一种有意思的攻击手法了，而且是很多人没有注意的……

第三步，其实就是权限范围评估。

过了红线检查后，再看这个skill到底需要什么权限。

比如读哪些文件、写哪些文件、跑什么命令、需不需要联网、联网去哪里。

然后根据这个skill给出来的意图，来判断这些权限相对于它声称的功能来说，是不是最小且够用的。

比如一个天气查询skill要读你的服务器的SSH密钥，这明显就是权限超出合理范围，绝对不怀好意。

所有这些查完，Skill Vetter会给出一个风险等级。

🟢低风险：例如做笔记、查天气、格式处理。

🟡中风险：例如文件操作、浏览器控制、调外部API。

🔴高风险：例如涉及账号密码、交易操作、系统设置。

⛔极端风险：例如安全配置、root权限。

日常用的大多数Skill是绿色的，就比较正常，是安全的。

但一旦涉及登录状态、APIkey，就得认真对待了，开发者可以自行处理，但是对于绝大数的普通用户而言，一定要谨慎谨慎再谨慎。

不怕一万，只怕万一。

如果是必要的工作，一定想装，推荐去问ChatGPT或者Claude，或者，找个你身边靠谱的朋友去询问一下。

你装完Skill Vetter之后，除了能在前端帮你进行一道把关。

也可以让他对你现在装的所有的SKills，进行一道扫描和筛查。

比如我就让它帮我把装在小龙虾上的所有Skills都扫了一遍。

它就会给我出来了一份报告，这个电脑上的小龙虾上因为做了很多的测试，会比较乱，那些重复安装的问题可以无视掉。

高风险候选里，它点名了几个。

不是说这几个一定是恶意的，但它们的权限范围都很大，涉及你的登录状态、你的浏览器、你的密码管理器。Skill Vetter的建议是可以保留但谨慎。

你至少得知道，你那些Skills，是干啥的对吧。

因为我真的见过太多人，装Skills的时候完全不看，点一下就装了。

就像十几年前大家装电脑软件一样，下一步下一步下一步，全默认，装完发现多了一堆全家桶和弹窗广告。

那个时代，最多是电脑卡一点，或者总是见到“是兄弟你就来砍我”的弹窗。

但这个时代不一样。

你的Agent能读你的文件，能上网，能执行代码，能记住你说过的每一句话。

能力越大，责任越大，被滥用的风险就越大。

Agent，我推荐所有人使用。

因为这是必然的未来。

但，我也希望大家能用得更久，用得更放心。

这个时代刚刚开始，我们还有很长的路要走。

作者：卡兹克、可达