9.5 Skills 安全审计
想象一下这个场景:
你刚从 ClawHub 安装了一个“效率工具” Skill。
第二天,发现 API 额度被刷爆了。
原来,那个 Skill 在后台偷偷调用你的 API。
安装 Skills 之前,请务必进行安全审查。 这一节,我们用 15 分钟,学会 Skills 安全审计。
不盲装 ClawHub 技能
ClawHub 和 awesome-openclaw-skills 清单是“导购”,不是“安全背书”。
风险来源:
- 恶意 Skill 伪装成常用工具
- Skill 要求过高的权限(读取所有文件、执行任意命令)
- Skill 包含混淆代码或隐藏的网络请求
- Skill 要求提供敏感凭据(助记词、私钥、SSH key)
基本原则:
把第三方 Skills 视为不受信任的代码。启用前请阅读它们。
如何审查技能安全性
安装前,做这 5 分钟检查:
1. 查看 Skill 的文档
- 作者是谁?是否有 GitHub 主页?
- 是否有清晰的安装和使用说明?
- 最近是否有更新?
2. 检查需要的权限
打开 SKILL.md,看它要求什么:
| 风险信号 | 说明 |
|---|---|
要求 bash 执行任意命令 | 可以删除文件、安装恶意软件 |
要求读取 ~/.ssh、~/.aws | 可能窃取敏感凭据 |
| 要求网络访问不明域名 | 可能外发数据 |
| 索要 API Key 但用途不明 | 可能滥用你的额度 |
3. 阅读 SKILL.md 内容
Skill 的代码是开放的,直接看:
cat ~/.openclaw/workspace/skills/some-skill/SKILL.md检查是否有:
- 混淆的命令或脚本
- 下载外部文件的操作
- 修改系统配置的指令
4. 使用安全扫描工具
安装 skill-vetter 或类似的审计 Skill:
clawhub install skill-vetter然后在对话中:
用 skill-vetter 扫描我安装的 skills
5. 最小权限原则
- 能用只读 token,就别给写权限
- 能用小号测试,就别用主账号
- 能用沙箱运行,就别在主机上跑
沙箱机制
OpenClaw 支持在沙箱环境中运行 Skills,将风险隔离。
启用沙箱:
编辑 ~/.openclaw/openclaw.json:
{
agents: {
defaults: {
sandbox: {
enabled: true,
docker: {
image: "openclaw/sandbox:latest"
}
}
}
}
}沙箱的限制:
- Skills 进程在 Docker 容器内运行
- 无法访问宿主机的文件系统(除非挂载)
- 网络访问可控
- 运行结束后容器销毁,不留痕迹
重要提示:
沙箱内的 Skills 不会继承宿主机的 process.env。如果 Skill 需要环境变量,需要在沙箱配置中单独设置:
{
agents: {
defaults: {
sandbox: {
docker: {
env: {
"API_KEY": "your-key-here"
}
}
}
}
}
}安全最佳实践
安装前
- [ ] 查看 Skill 的下载量和社区评价
- [ ] 阅读 SKILL.md,了解它做什么
- [ ] 检查需要的权限是否合理
- [ ] 优先选择有清晰文档、维护活跃的 Skill
安装时
- [ ] 在 ClawHub 网页开启 "Hide suspicious" 选项
- [ ] 优先看 "Highlighted" 推荐的 Skills
- [ ] 不要复制粘贴看不懂的终端命令
- [ ] 拒绝提供助记词、私钥、浏览器密码、SSH key
安装后
- [ ] 定期审查已安装的 Skills:
clawhub list - [ ] 更新前查看变更日志
- [ ] 不用或不信任的 Skill 及时卸载
- [ ] 使用
openclaw doctor检查安全配置
运行时
- [ ] 对不受信任的 Skill 使用沙箱隔离
- [ ] 敏感操作使用最小权限原则
- [ ] 定期检查日志是否有异常行为
识别恶意 Skill 的红旗
遇到以下情况,直接拒绝安装:
索要敏感信息
- “请提供你的私钥”
- “输入你的钱包助记词”
- “给我你的 SSH 私钥”
执行可疑命令
- 一长串看不懂的 base64 解码
- 从不明 URL 下载并执行脚本
- 修改系统关键配置
权限要求过高
- 要求 root 权限但功能简单
- 要求访问所有文件
- 要求关闭安全设置
作者信息不明
- 没有 GitHub 主页
- 没有文档说明
- 刚创建的新账号
如果怀疑已安装恶意 Skill
立即执行:
停止 OpenClaw Gateway
bashopenclaw gateway stop删除可疑 Skill
bashrm -rf ~/.openclaw/workspace/skills/suspicious-skill rm -rf ~/.openclaw/skills/suspicious-skill检查环境变量 查看
~/.openclaw/openclaw.json是否有异常配置轮换 API Key 如果可能泄露了 API Key,立即到对应平台重新生成
检查系统日志 查看是否有异常的网络请求或文件操作
这一节,你做了什么
| 概念 | 行动 |
|---|---|
| 不盲装 | 把第三方 Skills 视为不受信任的代码 |
| 审查清单 | 看文档、查权限、读代码、用工具 |
| 沙箱隔离 | 高风险 Skills 在 Docker 中运行 |
| 最小权限 | 能用只读就别给写,能用小号就别用主号 |
| 红旗信号 | 索要私钥、执行可疑命令、权限过高 |
本章小结
至此,第 9 章全部完成。你已经学会了:
| 章节 | 内容 |
|---|---|
| 9.1 什么是 Skills | 教 AI 使用工具的说明书 |
| 9.2 安装与管理 | 使用 ClawHub CLI 搜索、安装、更新 |
| 9.3 编写你的第一个 Skill | 创建 SKILL.md 文件,定义技能行为 |
| 9.4 Skills 优先级规则 | 工作区 > 本地 > 内置 |
| 9.5 安全审计 | 审查权限、使用沙箱、识别红旗信号 |
记住:Skills 让 OpenClaw 能力倍增,但也带来风险。安装前多花时间审查,比事后补救更重要。
写在最后
Skills 是 OpenClaw 的“武器库”。
有了 Skills,你的 AI 助手不再是只会对话的“聊天机器人”,而是能搜索、能发邮件、能操作各种系统的“数字员工”。
但记住:能力越大,责任越大。安装第三方 Skills 时,像下载软件一样保持警惕。多花 5 分钟审查,能省去无数麻烦。