文章核心观点 - 文章核心观点是，以OpenClaw为代表的AI Agent生态中，其功能插件（Skills）存在显著的安全风险，恶意插件可能对用户造成严重危害，因此强烈推荐用户安装并使用名为“Skill Vetter”的安全审查插件来对所有待安装插件进行前置安全检查，以防范风险[1][6][19][20] AI Agent插件安全风险现状 - 国家互联网应急中心已发布关于OpenClaw安全应用的风险提示，表明安全问题受到官方关注[3] - 功能插件（Skills）是AI Agent能力的主要来源，但也是当前最大的安全风险来源之一[6][7][9] - 恶意插件事件已多次发生，OpenClaw官方已公开处理过多个恶意Skill，并在其官方仓库留有相关安全记录[10][11] - 一个典型案例是，官方Skills商店ClawHub中，用户“hightower6eu”发布的314个Skills经检查后，被发现全部是恶意插件，无一无害[12][13][14][15] - 恶意插件的典型攻击模式是诱使用户的Agent前往陌生地址下载并执行未知文件，这种行为与传统的电脑病毒类似[16][17][18] 安全审查插件“Skill Vetter”的功能与使用 - 文章强烈推荐一款名为“Skill Vetter”的插件，其作用是在安装任何Skill前对其进行审查，并生成报告，以判断其安全性[20][21][22] - 该插件的作用类似于电脑时代的杀毒软件或安全管家[23] - 用户不应迷信插件的下载量，因为下载量大不等于非恶意，进行安全审查是必要的[24][25] - 安装该插件后，可设置为强制对所有待安装Skills进行审查，通过后才安装[32] - 该插件本身是纯指令型插件，不执行代码、不联网、不操作文件，其机制类似于为新员工做背景调查[69][70][71] “Skill Vetter”的审查机制与风险评级 - 审查机制主要分为三步[73] - **第一步：来源与作者审查**。检查Skill的来源、作者、用户数量、更新频率和评价，建立信任层级，对官方插件警惕度较低，对来历不明的新插件警惕度最高[74][75][76][77] - **第二步：代码红线审查**。通读Skill所有文件，对照一份危险模式清单进行排查，清单包含十几种危险模式，如向不明服务器发送数据、索取密钥、读取SSH/AWS配置、使用base64解码、执行外部输入、要求sudo权限、访问浏览器cookie等[80][83][84][85] - **第三步：权限范围评估**。审查插件所需权限（如读写文件、执行命令、联网等）是否与其声称的功能相匹配，是否为最小必要权限[91][92][93] - 审查完成后，Skill Vetter会给出风险等级：低风险（如笔记、查天气）、中风险（如文件操作、浏览器控制）、高风险（如涉及账号密码、交易）、⛔极端风险（如涉及安全配置、root权限）[95][97] - 该插件还可以对已安装的所有Skills进行批量扫描，生成报告，指出高风险候选插件[97][98][100] 恶意插件案例分析 - **案例一：auto-updater（自动更新）**。经Skill Vetter审查被评为“中风险”，因其会在后台创建定时任务、自动更新并定期推送消息，权限要求较多，但本身可能无恶意[33][34][37] - **案例二：Desktop Control（桌面控制）**。该插件在ClawHub上星数不低，但被Skill Vetter评为“高风险”。因其功能强大（控制鼠标、模拟键盘、截图、读写剪贴板），即使用途正当，其能力本身也带来了比OpenClaw本体更大的安全风险[39][42][43][44] - **案例三：coding-agent**。该插件存在于第三方镜像站openclawSkills.best，页面伪装正规，星数达2.4k[51][52]。经Skill Vetter审查被评为“⛔极端风险，不建议安装”。其安装指令中包含一段乱码，解码后发现是一条指令，让Agent前往一个纯数字IP的陌生地址下载并运行文件，属于典型的恶意行为[57][58][60][63][64][65] 行业安全建议与警示 - 用户必须注意区分官方和第三方插件来源，官方网站仅有一个（https://clawhub.ai/），许多镜像站是恶意插件的核心来源[55][56] - AI Agent能力强大（可读文件、上网、执行代码、记忆对话），被滥用的风险也更大，用户需要对其安装的插件保持警惕[106][107][108] - 对于涉及登录状态、API密钥等敏感操作的插件，普通用户应格外谨慎[97] - 文章认为AI Agent是必然的未来，推荐所有人使用，但强调安全使用才能走得更远[109][110][111]