|
大家好,我是微笑哥。 在上一篇文章中,给大家讲了三个安全事故。 其中最重要的一块,就是Skill投毒,除了官网默认的 Skills,其他三方的 Skills 都有可能存在风险。 稍微解释一下,什么是 Skills 投毒 就是有人把带有恶意指令或后门逻辑的 Skill 插件混进 OpenClaw 的技能库里,一旦被安装或调用,AI Agent 在执行任务时就可能被诱导泄露数据、执行异常操作甚至被远程控制。 有什么预防 OpenClaw Skills 投毒 的 Skill 吗? 你还别说,还真有。 这个 Skill 叫做 Skill Vetter。 那什么又是Skill Vetter 呢?一句话解释: Skill Vetter 是一个在安装任何 OpenClaw Skill 之前,对代码来源、权限和恶意行为进行安全审查并生成风险报告的安全工具。 
再简单一点理解: 它会在你安装 Skill 之前帮你检查几件事: 1️⃣来源是否可信
检查作者、仓库、下载量、更新时间等。 2️⃣代码是否有恶意行为
例如: 访问~/.ssh、~/.aws等敏感文件 向外部服务器发送数据 Base64 混淆代码 eval()/exec()动态执行代码 这些都会被标记为红旗。 3️⃣权限范围是否异常
它会分析这个 Skill 是否申请了: 文件系统访问 网络请求 shell 命令执行 然后给出LOW / MEDIUM / HIGH / EXTREME 风险评级。 4️⃣生成安全审查报告
最后输出一个结构化报告,告诉你: 是否建议安装 哪些地方有风险 很多人把Skill Vetter当成第一道防线。 那怎么安装呢? 在 OpenClaw 终端里运行: clawhubinstall skill-vetter
安装成功怎么验证,终端运行: skill-vetter 如果看到“skill-vetter”说明已经安装成功。
|
关注公众号
发表于 