一句话结论
OpenClaw Skills 可以扩展 Agent 能力,但安装前要先看来源、权限、代码和安全扫描,不要把技能当普通提示词乱装。
适用场景
- 想给 OpenClaw 增加 GitHub、浏览器、资料搜索、文档处理等能力
- 在 Awesome OpenClaw Skills 看到很多技能,不知道怎么筛
- 担心 Skill 带恶意代码、提示词注入或乱读本地文件
常见现象
- 清单里技能太多,越看越乱
- 不知道 clawhub install 和手动复制有什么区别
- 装完 Skill 后 Agent 行为变奇怪,或者要求不必要的权限
原因解释
- Awesome OpenClaw Skills 是从 OpenClaw 公共注册表过滤后的精选清单,不等于安全审计通过
- Skill 可以包含指令、脚本、工具调用说明,权限比普通提示词更接近本地自动化
- OpenClaw 技能优先级通常是项目级高于全局级,项目里放错会影响当前工作区
解决步骤
- 先按场景选分类:Search & Research、Browser & Automation、Coding Agents、DevOps、Notes & PKM
- 优先挑描述具体、来源清楚、近期更新的 Skill
- 安装前打开源文件,看是否包含危险命令、外传 Cookie、删除文件、自动执行未知脚本
- 先装到测试工作区,不要直接装到所有项目
- 跑一次最小任务,确认输出符合预期,再推广到真实工作流
可复制命令
clawhub install <skill-slug>
mkdir -p ~/.openclaw/skills
# 或把技能目录复制到当前项目的 skills/ 目录
openclaw config set tools.profile "coding"
openclaw gateway restart
仍然不行怎么办
- 不确定安全性时,只把 README 当学习材料,不安装执行部分
- 涉及账号登录、Cookie、Token 的技能先用小号和测试环境
- 遇到异常行为时先移除项目级 skills,再看全局 skills
优先看的技能分类
- Search & Research:适合网页搜索、资料抓取、竞品分析。
- Browser & Automation:适合需要登录态、网页点击、截图验证的任务。
- Coding Agents & IDEs:适合写代码、测试、重构、工程检查。
- Notes & PKM:适合 Obsidian、知识库、长期记忆整理。
- DevOps & Cloud:适合部署、CI、日志、云服务排查。
安装前安全审查清单
- 看 Skill 是否来自官方注册表或可信作者。
- 看是否要求读取浏览器 Cookie、SSH Key、云厂商 Token。
- 看是否会 curl 远程脚本并直接执行。
- 看是否会上传本地文件、日志或截图到未知服务。
- 看是否提供可回滚方式和最小测试命令。
参考来源
- Awesome OpenClaw Skills:https://github.com/VoltAgent/awesome-openclaw-skills
- ClawHub 安装说明:https://github.com/VoltAgent/awesome-openclaw-skills#installation
还卡着?
可以把截图、日志、需求单或当前页面链接发到 zhemuy@gmail.com。