OpenClaw 的 Skills(技能)是擴充機器人能力的套件,這意思是 – 你可以把目前剛安裝好的龍蝦機器人看作是一個「能陪你說話但卻沒有厲害的專業技能」的職場小白。而我們如果希望機器人可以馬上擁有一些技能來幫自己做事,就需要幫它安裝Skill。
通常Skill都來自社群或第三方開發者——就像手機的 App 一樣,我們可以立即使用其他人開發好的技能工具。但問題來了:
你會在不瞭解安全性的情況下,直接安裝來路不明的 App 嗎?
大多數人在安裝APP時都不會選擇安裝來歷不明的APP。但很多人在安裝 OpenClaw Skill 的時候就反而會發生這樣的錯 – 畢竟 Skill 的上架速度很快,通常也不容易查詢到可靠的使用者評價。
一般Skill 可能會要求讀取你的檔案、執行系統指令、對外發送網路請求——有些是為了執行技能而產生的正當需求,但有些則可能是間諜軟體或木馬。
Skill-Vetter 就是你的資安守門員。 在安裝任何 Skill 之前,它會先檢查原始碼、揪出可疑模式、評估風險等級,告訴你這個 Skill 到底能不能信任。
Skill-Vetter 是什麼?
由 ClawHub 官方維護的安全審核技能(SKILL)。功能包括:
| 功能 | 說明 |
| 🔍 原始碼審查 | 讀取 Skill 所有檔案,檢查可疑程式碼 |
| 🚨 紅旗偵測 | 揪出 curl/eval/credential 讀取/對外發送資料等惡意模式 |
| 📊 風險分級 | 🟢 LOW → 🟡 MEDIUM → 🔴 HIGH → ⛔️ EXTREME |
| ✅ 安裝建議 | 明確告訴你能不能裝、要小心什麼 |
如何安裝 Skill-Vetter
有 3 種不同方式都可以安裝 Skill,以下任選一種即可:
方式一:直接在對話框叫機器人幫你裝
最懶人但最推薦的方法就是請龍蝦機器人自己幫忙安裝Skill,你可以在對話框裡直接跟它說:
幫我安裝 skill-vetter 這個 Skill
方式二:用 OpenClaw 內建指令
在 終端機 上貼入以下指令:
openclaw skills install skill-vetter就這樣,一行指令完成。
方式三:用 clawhub CLI
在 終端機 上貼入以下指令:
clawhub install skill-vetter⚠️ 安裝後的特別提醒
如果你的 OpenClaw 是從頭開始安裝的,HEARTBEAT.md 裡可能還沒有「安裝前要先審核」的規則,意思是-即使安裝了,未來當你請機器人幫忙安裝 Skill 時,它也不會主動幫你用 Skill-Vetter做安全性檢查。
建議你裝完 skill-vetter 之後,立刻做這件事:
在對話中告訴機器人:
幫我更新 HEARTBEAT.md,加上「用戶要求安裝任何 Skill 時,必須先使用 skill-vetter 做安全審視」
再來也可以請機器人多加一項:
請幫我在 SOUL.md 加入核心原則——「未經確認,我不安裝任何東西」
當上述設定做好後,未來當你想要查詢或安裝 Skill 時,都會看到機器人告知你-安裝前要先用 Skill-vetter 做安全審視,並且在通知你審視結果後,會先詢問你是不是確定要安裝,直到你同意才執行安裝 Skill。
大概會出現的對話可能如下:
幫我看一下這個skill你覺得值得安裝嗎?
https://clawhub.ai/vignesh8164/blender-animation
按照規範,我先幫你審視一下那個 skill:
⚠️ 有警示!VirusTotal 標記為可疑。讓我先看代碼:
SKILL VETTING REPORT
═══════════════════════════════════════
Skill: blender-animation
Source: ClawHub (vignesh8164)
Version: 1.0.1
License: MIT-0
───────────────────────────────────────
METRICS:
.Last Updated: 2026-03-27
.ClawHub Score: 3.252
───────────────────────────────────────
⚠️ VIRUSTOTAL FLAG: ⚠️ 有警示!
───────────────────────────────────────
RED FLAGS:
檢查項目 | 狀態
VirusTotal Code Insight |
⚠️ 標記為可疑
報告內容 | 可能包含「crypto keys, external APIs, eval」等模式
原因分析 | Blender bpy API 內部使用 eval-like 模式
…
…
(會有很多說明…先簡略…)
…
…
建議:
blender-animation 被 VirusTotal 標記為可疑,建議先不安裝。
看上面範例就會知道,使用 Skill-Vetter 做安全審視之後,很快就可以看到明確的安全警示,如果中間看不懂問題說明也沒關係,最後通常機器人也會直接寫出建議,這樣就會很明確的可以評估是否要安裝自己看到的 Skill 囉。