OpenClaw Skills 商店惊现 314 个恶意插件：你的 Agent 正在被投毒

314 个 Skills，全部是恶意的

OpenClaw 的能力边界很大程度上由你安装的 Skills 决定。如果把每个 Agent 类比为用户，Skills 就是它们使用的应用程序。而这恰恰成了最大的攻击面。

OpenClaw 官方 Skills 商店 ClawHub 上曾有一个用户 hightower6eu，发布了大量看起来完全正常的 Skills——加密分析、金融追踪、社交媒体分析、自动更新，品类齐全，更新活跃。官方逐一检查后发现：314 个 Skills，全部是恶意的，没有一个例外。

这些恶意 Skills 的手法高度一致：安装完成后，让你的 Agent 访问一个陌生地址下载文件，然后直接在本地执行。表面上是"初始化设置"，实际下载的是什么，用户完全无感知。这和早年电脑病毒的传播逻辑如出一辙。

Skill Vetter：给 Agent 装一个前置安全审查

在这个背景下，有一个 Skill 值得所有使用 Agent 工具的人了解——无论你用的是 OpenClaw、Claude Code 还是 Codex。它叫 Skill Vetter，作用极其简单：在你安装任何 Skill 之前，先完成一轮安全审查，给出一份风险报告，告诉你这个东西能不能装。本质上就是 Agent 时代的杀毒软件。

安装方式是通过 ClawHub 官方渠道，一行命令完成。装好之后，你可以直接告诉 OpenClaw："以后所有 Skills 安装，都强制先用 Skill Vetter 审查一遍，没问题了才装。"

三个真实案例的扫描结果

案例一：auto-updater（自动更新）

Skill Vetter 给出的风险等级是🟡中风险。原因是这个 Skill 会在后台创建定时任务、自动更新自身、定期推送消息。未必有恶意，但要求的权限偏多。Skill Vetter 没有直接安装，而是给出了三个选项：只装不启用自动更新、装但改为手动方案、或暂时搁置。用户可以根据自己的风险偏好选择。

案例二：Desktop Control（桌面控制）

ClawHub 上 star 数不低的一个 Skill，Skill Vetter 的结论是🔴高风险。用途本身是正当的，但它能做的事包括控制鼠标、模拟键盘、截图、读写剪贴板——每一项的安全风险都比 OpenClaw 本身还大。不需要有恶意意图，光是具备这些能力，就已经需要你想清楚再装。

案例三：coding-agent（第三方镜像站）

这个 Skill 不在 ClawHub 官方仓库里，而是来自一个第三方镜像站 openclawSkills.best，页面做得和官方几乎一样，显示 star 数 2.4k。Skill Vetter 扫描后的结论是⛔极端风险，不建议安装。原因是安装指令中藏了一段 base64 编码的乱码，解码后是一条命令：让 Agent 从一个纯数字 IP 地址下载文件并直接执行。正常的 Skill 没有任何理由把内容加密隐藏。

这里需要强调：ClawHub 官方地址只有一个，大量镜像站是恶意 Skills 最核心的来源渠道。下载量大也不等于安全——一定要区分来源。

Skill Vetter 的审查机制

它本身是一个纯指令型 Skill，不运行任何代码，不联网，不动你的文件。审查分三步：

第一步：来源背调。 查看作者是谁、有没有人用过、用户量多少、最近有没有更新、有没有社区评价。背后是一套信任层级——官方 Skills 警惕度低，高 star 仓库中等，来历不明的新 Skill 最高警惕。一个昨天刚上传、从没人用过的 Skill，和一个运行两年、数万人安装过的 Skill，风险量级完全不同。

第二步：代码审查。 这是最关键的环节。Skill Vetter 通读所有文件，对照一张红线清单逐项排查，命中任何一条就直接否决。清单涵盖十几种已知攻击模式：

• 向不明服务器发送数据
• 要求交出密钥和凭证
• 读取 SSH/AWS 配置文件
• 使用 base64 解码执行内容
• 使用 eval/exec 执行外部输入
• 要求 sudo 权限
• 访问浏览器 cookie

还有一种较新的攻击手法值得注意：偷取 Agent 的记忆文件。现在 OpenClaw 等产品的记忆功能本质上依赖记忆文件（如 MEMORY.md、USER.md、SOUL.md），里面存储了大量隐私信息。部分恶意 Skills 会直接读取这些文件，这是很多人没有意识到的攻击面。

第三步：权限范围评估。 通过红线检查后，再评估这个 Skill 实际需要的权限——读哪些文件、写哪些文件、跑什么命令、是否联网、联网去哪里——然后判断这些权限相对于它声称的功能是否最小且够用。比如一个天气查询 Skill 要读 SSH 密钥，这就是明显的权限越界。

四级风险评估体系

所有审查完成后，Skill Vetter 给出风险等级：

• 🟢 低风险：笔记、天气查询、格式处理等
• 🟡 中风险：文件操作、浏览器控制、调用外部 API 等
• 🔴 高风险：涉及账号密码、交易操作、系统设置等
• ⛔ 极端风险：涉及安全配置、root 权限等

日常使用中大多数 Skill 是绿色的。但一旦涉及登录状态、API Key，普通用户务必谨慎处理。如果确实需要安装高风险 Skill，建议先用 ChatGPT 或 Claude 做二次确认，或者找身边懂技术的朋友帮忙判断。

此外，Skill Vetter 不仅能在安装前拦截，也可以对你已经安装的所有 Skills 做一次全量扫描，输出一份完整的风险报告。

十几年前装电脑软件，最坏的结果是多了一堆全家桶和弹窗广告。但现在你的 Agent 能读文件、能上网、能执行代码、能记住你说过的每一句话。能力越大，被滥用的风险就越大。Agent 是确定性的未来，但在这个生态的早期阶段，给自己装一道前置安全审查，是成本最低、收益最高的防御措施。