所有用OpenClaw的朋友，我都勸你先裝上這個(gè)能保命的Skill。

最近這段時(shí)間，只要我發(fā)關(guān)于OpenClaw的文章，評(píng)論區(qū)必有人在問(wèn)同一件事。

就是安全問(wèn)題。

就連國(guó)家互聯(lián)網(wǎng)應(yīng)急中心都發(fā)了一篇《關(guān)于OpenClaw安全應(yīng)用的風(fēng)險(xiǎn)提示》。

里面其實(shí)提到一個(gè)目前我覺(jué)得最重要的事。

就是功能插件（Skills）投毒風(fēng)險(xiǎn)。

因?yàn)榇蠹叶贾溃↓埼r的能力強(qiáng)與弱，很多時(shí)候，就是看你安裝的那些Skills怎么樣。

如果你把一個(gè)一個(gè)的Agent當(dāng)做用戶的話，那其實(shí)Skills就很像給一個(gè)一個(gè)的Agent所用的APP或者是應(yīng)用。

也是我們目前看到的，最大的安全風(fēng)險(xiǎn)來(lái)源之一。

真不是危言聳聽(tīng)，這些事情已經(jīng)實(shí)實(shí)在在發(fā)生過(guò)很多次了。

OpenClaw官方公開(kāi)過(guò)多個(gè)被舉報(bào)為惡意的Skill，且官方倉(cāng)庫(kù)也留下了相關(guān)安全討論和記錄。

而且這些惡意Skills偽裝得都很好。

OpenClaw有一個(gè)官方的Skills商店，名叫ClawHub。

網(wǎng)址： https://clawhub.ai/

之前這里面有個(gè)用戶叫hightower6eu。

發(fā)了一堆看著挺正常的Skill，加密分析、金融追蹤、社交媒體分析、自動(dòng)更新。

什么都有，還挺活躍。

但官方把他發(fā)的Skill挨個(gè)檢查后。

314個(gè)skills，全是惡意的，一個(gè)無(wú)害的都沒(méi)有。

這些Skills的套路都一樣。

裝完之后，它會(huì)讓你的小龍蝦跑去一個(gè)陌生地址下載東西，然后直接在你電腦上執(zhí)行。

說(shuō)是在幫你做初始設(shè)置，但下載下來(lái)的是什么，你完全不知道。

這種行為，就跟很多年前的電腦病毒非常像。

所以今天這篇，就想給大家安利一個(gè)我覺(jué)得在你使用任何Agent，無(wú)論是小龍蝦OpenClaw、還是Claude code、Codex等等，都必裝的一個(gè)我覺(jué)得最有用的Skills。

叫Skill Vetter。

地址：https://clawhub.ai/spclaudehome/Skill-vetter

這東西，基本就是任何朋友問(wèn)我怎么把控安全問(wèn)題，或者要裝什么skills，我永遠(yuǎn)推薦的第一個(gè)必備的SKills。

它的作用特別簡(jiǎn)單，就是在你裝任何Skill之前，先幫你把那個(gè)Skill審查一遍，給你出一份報(bào)告，告訴你這東西能不能裝。

非要說(shuō)作用，就非常像你電腦時(shí)代用的殺毒軟件或者安全管家。

大家絕對(duì)不要迷信各種所謂的下載量。

一定要清楚，下載量大 ≠ 非惡意。

所以，進(jìn)行一遍安全審查，是絕對(duì)有必要的。

安裝這個(gè)skill也很簡(jiǎn)單，我還是推薦使用ClawHub的渠道來(lái)源進(jìn)行安裝，因?yàn)榉奖愎芾砗途S護(hù)。

安裝就一行老命令：

https://clawhub.ai/spclaudehome/skill-vetter

對(duì)，就一句話。

然后你的Agent，就會(huì)自己去下載了。

很快，就裝好了。

你可以跟你的Openclaw說(shuō)，以后所有的Skills安裝，都強(qiáng)制使用Skill-vetter進(jìn)行審查一遍，沒(méi)問(wèn)題了才安裝。

我用一個(gè)叫auto-updater自動(dòng)更新的Skill來(lái)試一下，演示給大家看看效果。

比如我跟OpenClaw說(shuō)：

https://clawhub.ai/maximeprades/auto-updater

在一會(huì)之后，它就會(huì)給你回應(yīng)了。

風(fēng)險(xiǎn)等級(jí)是中風(fēng)險(xiǎn)。

因?yàn)閽叱鰜?lái)這個(gè)Skill會(huì)在后臺(tái)創(chuàng)建定時(shí)任務(wù)、自動(dòng)更新自己，還會(huì)定期推送消息。

它可能沒(méi)有惡意，但要的權(quán)限有點(diǎn)多。

所以它只是幫我下載下來(lái)了，但是并沒(méi)有直接幫我安裝，而是給了我三個(gè)選項(xiàng)：

只裝不啟用自動(dòng)更新、裝了但改成手動(dòng)方案、或者直接放著不動(dòng)。

你可以根據(jù)自己的需求和風(fēng)險(xiǎn)偏好程度，進(jìn)行自由選擇。

還有一個(gè)ClawHub上的桌面控制的Skill，叫Desktop Control，star數(shù)還不低。

而這個(gè)Skill，Skill-Vetter給它的結(jié)論是高風(fēng)險(xiǎn)。

很危險(xiǎn)，但是用途是正當(dāng)?shù)摹?/p>

畢竟因?yàn)檫@東西能做的事太多了。

控制鼠標(biāo)、模擬鍵盤(pán)、截圖、讀寫(xiě)剪貼板，有一個(gè)算一個(gè)，都是比OpenClaw本身的安全風(fēng)險(xiǎn)都要大。

不需要有惡意，光是有這個(gè)能力，就已經(jīng)需要你想清楚再裝了。

以前沒(méi)有Skill Vetter，你可能就是直接就裝了，因?yàn)闆](méi)有任何人提醒你任何東西，但是至少現(xiàn)在，有人幫你在前面攔一道。

上面這兩個(gè)skill，其實(shí)都是風(fēng)險(xiǎn)大，但是本身意圖是沒(méi)有惡意的skill。

我再給大家看一個(gè)，真正有惡意的。

一個(gè)叫coding-agent的Skill。

這個(gè)Skill其實(shí)不存在ClawHub官方倉(cāng)庫(kù)里，而是在一個(gè)第三方鏡像站openclawSkills.best上。

頁(yè)面做得很正經(jīng)，就像官方一樣，star數(shù)2.4k。

所以這塊也一定要注意，一定要看清楚，是不是官方的網(wǎng)站。

官方網(wǎng)站只有一個(gè)：

https://clawhub.ai/

很多的鏡像站，都是惡意skills最核心的來(lái)源。

這個(gè)skill我直接讓Skill Vetter掃了一下。

結(jié)論是?極端風(fēng)險(xiǎn)，不建議安裝。

因?yàn)檫@個(gè)Skill的安裝指令里，有一段看著完全看不懂的亂碼。

正常的Skills不需要這么做，你想寫(xiě)什么直接寫(xiě)就行了，沒(méi)有理由把內(nèi)容藏起來(lái)。

那段亂碼拆開(kāi)以后，你就能發(fā)現(xiàn)，是一條離譜的命令。

讓你的小龍蝦去一個(gè)陌生地址下載東西，下載完以后，直接在你電腦上運(yùn)行。

那個(gè)地址我看了下，肯定就不是啥正經(jīng)網(wǎng)站了，就是一串純數(shù)字IP，很離譜。

至于這個(gè)最后下載完了，你的電腦會(huì)變成什么樣，我就沒(méi)有繼續(xù)試下去了。。。

畢竟，我硬盤(pán)里還有很多學(xué)習(xí)資料呢，我怕被勒索。。。

Skill Vetter本身，就是一個(gè)純指令型的Skill。

它自己不會(huì)跑任何代碼，不聯(lián)網(wǎng)，不動(dòng)你的文件。

就挺像你公司的HR的，會(huì)在新人入職之前，先幫你做一輪背調(diào)，看看簡(jiǎn)歷啥的有沒(méi)有造假，目的是不是單純。。。

Skill Vetter本身的機(jī)制也并不是特別復(fù)雜，但是會(huì)特別有效。

基本就是三步。

第一步是先看這個(gè)Skill來(lái)自哪，誰(shuí)寫(xiě)的。

作者是誰(shuí)，有沒(méi)有人用過(guò)，用過(guò)的人有多少，最近有沒(méi)有更新，有沒(méi)有其他人評(píng)價(jià)過(guò)。

背后其實(shí)是一套信任層級(jí)，跟我們?cè)诠纠镎腥似鋵?shí)差不多。

官方Skills警惕度低一點(diǎn)，高星數(shù)倉(cāng)庫(kù)中等，來(lái)歷不明的新Skill最警惕。

畢竟真的，信任這東西，是需要時(shí)間積累的。

一個(gè)昨天剛傳上來(lái)、從來(lái)沒(méi)人用過(guò)的Skill，和一個(gè)用了兩年、幾萬(wàn)人裝過(guò)的Skill，從風(fēng)險(xiǎn)角度來(lái)說(shuō)，它其實(shí)不在一個(gè)量級(jí)。

就像雇人，對(duì)方說(shuō)自己經(jīng)驗(yàn)豐富，本科211碩士海外留學(xué)，做過(guò)XX項(xiàng)目拿了無(wú)數(shù)的獎(jiǎng)，吹的天花亂墜，但你一想，明明都是名人了，網(wǎng)上搜不到任何關(guān)于他的信息，這肯定就不對(duì)了對(duì)吧。

第二步，就是翻一下代碼，看看代碼里面是不是正常的，有沒(méi)有藏一些東西。

這一步其實(shí)就是最關(guān)鍵的了。

它會(huì)通讀skill的所有文件，然后對(duì)照一張紅線清單逐項(xiàng)排查，但凡有一條對(duì)不上的，就直接斃了。

這張清單列出了十幾種危險(xiǎn)模式，包括：

向不明服務(wù)器發(fā)送數(shù)據(jù)、要求你交出密鑰和憑證、讀取你的 SSH/AWS 配置文件、用base64 解碼、用eval/exec執(zhí)行外部輸入、要sudo權(quán)限、訪問(wèn)瀏覽器cookie等等。

這些基本全都是之前各種各樣的Skills生態(tài)里面出現(xiàn)過(guò)的攻擊手法。

還有一個(gè)最有意思的，也是后面才出現(xiàn)的。

就是去偷A(chǔ)gent的記憶文件。

大家其實(shí)知道現(xiàn)在包括OpenClaw之類(lèi)的產(chǎn)品，能記住你是誰(shuí)，跟你互動(dòng)，本質(zhì)上都是記憶文件的功率，他會(huì)把你兩的一些比較重要的聊天記錄，放在聊天記憶里面，這些坦率的講，還是存了無(wú)數(shù)的隱私信息的。

現(xiàn)在有些惡意的Skills，直接強(qiáng)制的會(huì)去讀你的記憶文件，比如MEMORY.md、USER.md、SOUL.md等等。

也是一種有意思的攻擊手法了，而且是很多人沒(méi)有注意的。。。

第三步，其實(shí)就是權(quán)限范圍評(píng)估。

過(guò)了紅線檢查后，再看這個(gè)skill到底需要什么權(quán)限。

比如讀哪些文件、寫(xiě)哪些文件、跑什么命令、需不需要聯(lián)網(wǎng)、聯(lián)網(wǎng)去哪里。

然后根據(jù)這個(gè)skill給出來(lái)的意圖，來(lái)判斷這些權(quán)限相對(duì)于它聲稱的功能來(lái)說(shuō)，是不是最小且夠用的。

比如一個(gè)天氣查詢skill要讀你的服務(wù)器的SSH密鑰，這明顯就是權(quán)限超出合理范圍，絕對(duì)不懷好意。

所有這些查完，Skill Vetter會(huì)給出一個(gè)風(fēng)險(xiǎn)等級(jí)。

低風(fēng)險(xiǎn)：例如做筆記、查天氣、格式處理。

中風(fēng)險(xiǎn)：例如文件操作、瀏覽器控制、調(diào)外部API。

高風(fēng)險(xiǎn)：例如涉及賬號(hào)密碼、交易操作、系統(tǒng)設(shè)置。

?極端風(fēng)險(xiǎn)：例如安全配置、root權(quán)限。

日常用的大多數(shù)Skill是綠色的，就比較正常，是安全的。

但一旦涉及登錄狀態(tài)、APIkey，就得認(rèn)真對(duì)待了，開(kāi)發(fā)者可以自行處理，但是對(duì)于絕大數(shù)的普通用戶而言，一定要謹(jǐn)慎謹(jǐn)慎再謹(jǐn)慎。

不怕一萬(wàn)，只怕萬(wàn)一。

如果是必要的工作，一定想裝，推薦去問(wèn)ChatGPT或者Claude，或者，找個(gè)你身邊靠譜的朋友去詢問(wèn)一下。

你裝完Skill Vetter之后，除了能在前端幫你進(jìn)行一道把關(guān)。

也可以讓他對(duì)你現(xiàn)在裝的所有的SKills，進(jìn)行一道掃描和篩查。

比如我就讓它幫我把裝在小龍蝦上的所有Skills都掃了一遍。

它就會(huì)給我出來(lái)了一份報(bào)告，這個(gè)電腦上的小龍蝦上因?yàn)樽隽撕芏嗟臏y(cè)試，會(huì)比較亂，那些重復(fù)安裝的問(wèn)題可以無(wú)視掉。

高風(fēng)險(xiǎn)候選里，它點(diǎn)名了幾個(gè)。

不是說(shuō)這幾個(gè)一定是惡意的，但它們的權(quán)限范圍都很大，涉及你的登錄狀態(tài)、你的瀏覽器、你的密碼管理器。Skill Vetter的建議是可以保留但謹(jǐn)慎。

你至少得知道，你那些Skills，是干啥的對(duì)吧。

因?yàn)槲艺娴囊?jiàn)過(guò)太多人，裝Skills的時(shí)候完全不看，點(diǎn)一下就裝了。

就像十幾年前大家裝電腦軟件一樣，下一步下一步下一步，全默認(rèn)，裝完發(fā)現(xiàn)多了一堆全家桶和彈窗廣告。

那個(gè)時(shí)代，最多是電腦卡一點(diǎn)，或者總是見(jiàn)到“是兄弟你就來(lái)砍我”的彈窗。

但這個(gè)時(shí)代不一樣。

你的Agent能讀你的文件，能上網(wǎng)，能執(zhí)行代碼，能記住你說(shuō)過(guò)的每一句話。

能力越大，責(zé)任越大，被濫用的風(fēng)險(xiǎn)就越大。

Agent，我推薦所有人使用。

因?yàn)檫@是必然的未來(lái)。

但，我也希望大家能用得更久，用得更放心。

這個(gè)時(shí)代剛剛開(kāi)始，我們還有很長(zhǎng)的路要走。

以上，既然看到這里了，如果覺(jué)得不錯(cuò)，隨手點(diǎn)個(gè)贊、在看、轉(zhuǎn)發(fā)三連吧，如果想第一時(shí)間收到推送，也可以給我個(gè)星標(biāo)?～謝謝你看我的文章，我們，下次再見(jiàn)。

>/ 作者：卡茲克、可達(dá)

>/ 投稿或爆料，請(qǐng)聯(lián)系郵箱：wzglyay@virxact.com