Skills 是 OpenClaw 最强大的部分之一,也是最快把实例搞脏、搞挂、搞中招的地方之一。
正确的默认心智
橙色皮书记载了:
- ClawHavoc 供应链攻击
- 后续持续发现的恶意 Skill
- ClawHub 生态长期存在的质量问题
所以正确默认值应该是 先审查,再安装。
一份最小检查清单
在安装第三方 Skill 之前,先做这几件事:
- 通读
SKILL.md。 - 特别警惕要求执行 shell 脚本、下载压缩包、输入密码的内容。
- 看清它会接触哪些文件、秘密和工具。
- 确认项目是否免费或开源。
- 优先看策展列表,而不是在注册表里随便搜一个就装。
为什么 AIClawGuide 只做人工策展
因为第一阶段不能假装生态比真实情况更安全。人工策展更慢,但更符合当前的风险现实。
一条实用判断规则
如果一个 Skill 索取的信任,已经超过你能在短时间内解释清楚的范围,那就先不要装。
