最近不少人反馈,OpenClaw 技能市场开始“踩雷率”变高,小白尤其要小心。
如果你在用 OpenClaw,建议几件事(实用避坑法):
第一,只从可信来源下载:别信 ClawHub 热门排行,优先 GitHub star 高(>500)的官方/知名仓库,或社区验证过的技能。先用 VirusTotal 扫描文件。
第二,手动审查代码:技能多是 markdown 或脚本,安装前用编辑器打开,搜索关键词如 “curl”“exec”“base64”“http” 或外部链接。有可疑命令,立刻放弃。
第三,隔离运行:用 Docker 容器或虚拟机(VirtualBox)测试技能。启用 OpenClaw 的 sandbox 模式,限制访问主机文件/网络。
第四,最小权限原则:别给技能敏感权限(如读写核心目录)。凭证用环境变量或密码管理器,别明文存文件。
第五,定期自查:每周运行命令检查已安装技能:
grep -rl "curl\|exec\|base64" ~/.openclaw/skills/
删除不用的技能,保持 OpenClaw 更新到最新版(修复已知漏洞如 CVE-2026-25253)。
第六,用辅助工具:试试 Cisco Skill Scanner 或类似检测器,自动找提示注入/恶意 payload。
OpenClaw 本身是个很强的开源 AI 代理框架,通过安装 Skills(技能)扩展能力,比如自动化任务、数据处理、工具集成等。问题出在技能来源——ClawHub 是公开市场,几乎人人都能上传,审核机制非常弱。
根据 Koi Security、Bitdefender、Snyk 等安全公司的报告,ClawHub 上存在数百甚至上千个恶意技能,占比大约 12%-20%。也就是说,你随便装 5 个技能,理论上就可能踩到 1 个问题插件。
典型案例是“ClawHavoc”攻击活动:攻击者伪装成“Twitter 助手”“效率插件”等看起来很实用的工具。安装后,AI 会提示你运行一条所谓的“初始化修复命令”,通常是 curl 下载脚本。很多新手直接复制执行,结果下载的是窃密程序(例如 Atomic MacOS Stealer),浏览器数据、密码、文件、API Key 都可能被打包带走。
为什么风险这么大?因为技能本质上就是可执行代码,可以读写文件、执行 shell 命令、访问网络。再加上 AI 代理本身具备自主执行能力,一旦被诱导执行恶意指令,基本就是“主动帮黑客干活”。
常见踩坑路径很简单:
看到热门技能 → 看起来很有用 → 安装 → 提示运行命令 → 执行 → 数据被偷。整个过程可能不到 5 分钟。
一句话总结:OpenClaw 本身没问题,问题在于开放市场。它现在更像一个“无人审核的插件商店”。用得好是生产力神器,用不好就是安全隐患。
做 AI 自动化的朋友,真的要把安全意识提上来。
你们最近有踩过 OpenClaw 技能的坑吗?欢迎说说经历。