最近這段時間，只要我發(fā)關于OpenClaw的文章，評論區(qū)必有人在問同一件事。

就是安全問題。

就連國家互聯(lián)網(wǎng)應急中心都發(fā)了一篇《關于OpenClaw安全應用的風險提示》。

里面其實提到一個目前我覺得最重要的事。

就是功能插件（Skills）投毒風險。

因為大家都知道，小龍蝦的能力強與弱，很多時候，就是看你安裝的那些Skills怎么樣。

如果你把一個一個的Agent當做用戶的話，那其實Skills就很像給一個一個的Agent所用的APP或者是應用。

也是我們目前看到的，最大的安全風險來源之一。

真不是危言聳聽，這些事情已經(jīng)實實在在發(fā)生過很多次了。

OpenClaw官方公開過多個被舉報為惡意的Skill，且官方倉庫也留下了相關安全討論和記錄。

而且這些惡意Skills偽裝得都很好。

OpenClaw有一個官方的Skills商店，名叫ClawHub。

網(wǎng)址：https://clawhub.ai/

之前這里面有個用戶叫hightower6eu。

發(fā)了一堆看著挺正常的Skill，加密分析、金融追蹤、社交媒體分析、自動更新。

什么都有，還挺活躍。

但官方把他發(fā)的Skill挨個檢查后。

314個skills，全是惡意的，一個無害的都沒有。

這些Skills的套路都一樣。

裝完之后，它會讓你的小龍蝦跑去一個陌生地址下載東西，然后直接在你電腦上執(zhí)行。

說是在幫你做初始設置，但下載下來的是什么，你完全不知道。

這種行為，就跟很多年前的電腦病毒非常像。

所以今天這篇，就想給大家安利一個我覺得在你使用任何Agent，無論是小龍蝦OpenClaw、還是Claude code、Codex等等，都必裝的一個我覺得最有用的Skills。

叫Skill Vetter。

地址：https://clawhub.ai/spclaudehome/skill-vetter

這東西，基本就是任何朋友問我怎么把控安全問題，或者要裝什么skills，我永遠推薦的第一個必備的SKills。

它的作用特別簡單，就是在你裝任何Skill之前，先幫你把那個Skill審查一遍，給你出一份報告，告訴你這東西能不能裝。

非要說作用，就非常像你電腦時代用的殺毒軟件或者安全管家。

大家絕對不要迷信各種所謂的下載量。

一定要清楚，下載量大 ≠ 非惡意。

所以，進行一遍安全審查，是絕對有必要的。

安裝這個skill也很簡單，我還是推薦使用ClawHub的渠道來源進行安裝，因為方便管理和維護。

安裝就一行老命令：

幫我安裝這個Skill：https://clawhub.ai/spclaudehome/skill-vetter

對，就一句話。

然后你的Agent，就會自己去下載了。

很快，就裝好了。

你可以跟你的Openclaw說，以后所有的Skills安裝，都強制使用Skill-vetter進行審查一遍，沒問題了才安裝。

我用一個叫auto-updater自動更新的Skill來試一下，演示給大家看看效果。

比如我跟OpenClaw說：

幫我下載這個Skill，用Skill Vetter先審查，Skill鏈接：https://clawhub.ai/maximeprades/auto-updater

在一會之后，它就會給你回應了。

風險等級是中風險。

因為掃出來這個Skill會在后臺創(chuàng)建定時任務、自動更新自己，還會定期推送消息。

它可能沒有惡意，但要的權限有點多。

所以它只是幫我下載下來了，但是并沒有直接幫我安裝，而是給了我三個選項：

只裝不啟用自動更新、裝了但改成手動方案、或者直接放著不動。

你可以根據(jù)自己的需求和風險偏好程度，進行自由選擇。

還有一個ClawHub上的桌面控制的Skill，叫Desktop Control，star數(shù)還不低。

而這個Skill，Skill-Vetter給它的結論是高風險。

很危險，但是用途是正當?shù)摹?/p>

畢竟因為這東西能做的事太多了。

控制鼠標、模擬鍵盤、截圖、讀寫剪貼板，有一個算一個，都是比OpenClaw本身的安全風險都要大。

不需要有惡意，光是有這個能力，就已經(jīng)需要你想清楚再裝了。

以前沒有Skill Vetter，你可能就是直接就裝了，因為沒有任何人提醒你任何東西，但是至少現(xiàn)在，有人幫你在前面攔一道。

上面這兩個skill，其實都是風險大，但是本身意圖是沒有惡意的skill。

我再給大家看一個，真正有惡意的。

一個叫coding-agent的Skill。

這個Skill其實不存在ClawHub官方倉庫里，而是在一個第三方鏡像站openclawSkills.best上。

頁面做得很正經(jīng)，就像官方一樣，star數(shù)2.4k。

所以這塊也一定要注意，一定要看清楚，是不是官方的網(wǎng)站。

官方網(wǎng)站只有一個：https://clawhub.ai/

很多的鏡像站，都是惡意skills最核心的來源。

這個skill我直接讓Skill Vetter掃了一下。

結論是?極端風險，不建議安裝。

因為這個Skill的安裝指令里，有一段看著完全看不懂的亂碼。

正常的Skills不需要這么做，你想寫什么直接寫就行了，沒有理由把內(nèi)容藏起來。

那段亂碼拆開以后，你就能發(fā)現(xiàn)，是一條離譜的命令。

讓你的小龍蝦去一個陌生地址下載東西，下載完以后，直接在你電腦上運行。

那個地址我看了下，肯定就不是啥正經(jīng)網(wǎng)站了，就是一串純數(shù)字IP，很離譜。

至于這個最后下載完了，你的電腦會變成什么樣，我就沒有繼續(xù)試下去了......

畢竟，我硬盤里還有很多學習資料呢，我怕被勒索......

Skill Vetter本身，就是一個純指令型的Skill。

它自己不會跑任何代碼，不聯(lián)網(wǎng)，不動你的文件。

就挺像你公司的HR的，會在新人入職之前，先幫你做一輪背調(diào)，看看簡歷啥的有沒有造假，目的是不是單純......

Skill Vetter本身的機制也并不是特別復雜，但是會特別有效。

基本就是三步。

第一步是先看這個Skill來自哪，誰寫的。

作者是誰，有沒有人用過，用過的人有多少，最近有沒有更新，有沒有其他人評價過。

背后其實是一套信任層級，跟我們在公司里招人其實差不多。

官方Skills警惕度低一點，高星數(shù)倉庫中等，來歷不明的新Skill最警惕。

畢竟真的，信任這東西，是需要時間積累的。

一個昨天剛傳上來、從來沒人用過的Skill，和一個用了兩年、幾萬人裝過的Skill，從風險角度來說，它其實不在一個量級。

就像雇人，對方說自己經(jīng)驗豐富，本科211碩士海外留學，做過XX項目拿了無數(shù)的獎，吹的天花亂墜，但你一想，明明都是名人了，網(wǎng)上搜不到任何關于他的信息，這肯定就不對了對吧。

第二步，就是翻一下代碼，看看代碼里面是不是正常的，有沒有藏一些東西。

這一步其實就是最關鍵的了。

它會通讀skill的所有文件，然后對照一張紅線清單逐項排查，但凡有一條對不上的，就直接斃了。

這張清單列出了十幾種危險模式，包括：

向不明服務器發(fā)送數(shù)據(jù)、要求你交出密鑰和憑證、讀取你的 SSH/AWS 配置文件、用base64 解碼、用eval/exec執(zhí)行外部輸入、要sudo權限、訪問瀏覽器cookie等等。

這些基本全都是之前各種各樣的Skills生態(tài)里面出現(xiàn)過的攻擊手法。

還有一個最有意思的，也是后面才出現(xiàn)的。

就是去偷Agent的記憶文件。

大家其實知道現(xiàn)在包括OpenClaw之類的產(chǎn)品，能記住你是誰，跟你互動，本質(zhì)上都是記憶文件的功率，他會把你兩的一些比較重要的聊天記錄，放在聊天記憶里面，這些坦率的講，還是存了無數(shù)的隱私信息的。

現(xiàn)在有些惡意的Skills，直接強制的會去讀你的記憶文件，比如MEMORY.md、USER.md、SOUL.md等等。

也是一種有意思的攻擊手法了，而且是很多人沒有注意的......

第三步，其實就是權限范圍評估。

過了紅線檢查后，再看這個skill到底需要什么權限。

比如讀哪些文件、寫哪些文件、跑什么命令、需不需要聯(lián)網(wǎng)、聯(lián)網(wǎng)去哪里。

然后根據(jù)這個skill給出來的意圖，來判斷這些權限相對于它聲稱的功能來說，是不是最小且夠用的。

比如一個天氣查詢skill要讀你的服務器的SSH密鑰，這明顯就是權限超出合理范圍，絕對不懷好意。

所有這些查完，Skill Vetter會給出一個風險等級。

低風險：例如做筆記、查天氣、格式處理。

中風險：例如文件操作、瀏覽器控制、調(diào)外部API。

高風險：例如涉及賬號密碼、交易操作、系統(tǒng)設置。

?極端風險：例如安全配置、root權限。

日常用的大多數(shù)Skill是綠色的，就比較正常，是安全的。

但一旦涉及登錄狀態(tài)、APIkey，就得認真對待了，開發(fā)者可以自行處理，但是對于絕大數(shù)的普通用戶而言，一定要謹慎謹慎再謹慎。

不怕一萬，只怕萬一。

如果是必要的工作，一定想裝，推薦去問ChatGPT或者Claude，或者，找個你身邊靠譜的朋友去詢問一下。

你裝完Skill Vetter之后，除了能在前端幫你進行一道把關。

也可以讓他對你現(xiàn)在裝的所有的SKills，進行一道掃描和篩查。

比如我就讓它幫我把裝在小龍蝦上的所有Skills都掃了一遍。

它就會給我出來了一份報告，這個電腦上的小龍蝦上因為做了很多的測試，會比較亂，那些重復安裝的問題可以無視掉。

高風險候選里，它點名了幾個。

不是說這幾個一定是惡意的，但它們的權限范圍都很大，涉及你的登錄狀態(tài)、你的瀏覽器、你的密碼管理器。Skill Vetter的建議是可以保留但謹慎。

你至少得知道，你那些Skills，是干啥的對吧。

因為我真的見過太多人，裝Skills的時候完全不看，點一下就裝了。

就像十幾年前大家裝電腦軟件一樣，下一步下一步下一步，全默認，裝完發(fā)現(xiàn)多了一堆全家桶和彈窗廣告。

那個時代，最多是電腦卡一點，或者總是見到“是兄弟你就來砍我”的彈窗。

但這個時代不一樣。

你的Agent能讀你的文件，能上網(wǎng)，能執(zhí)行代碼，能記住你說過的每一句話。

能力越大，責任越大，被濫用的風險就越大。

Agent，我推薦所有人使用。

因為這是必然的未來。

但，我也希望大家能用得更久，用得更放心。

這個時代剛剛開始，我們還有很長的路要走。

作者：卡茲克、可達

本文經(jīng)授權轉載自數(shù)字生命卡茲克（ID：Rockhazix），如需二次轉載請聯(lián)系原作者。歡迎轉發(fā)到朋友圈。

點個“小愛心”吧