После supply-chain кампании ClawHavoc в начале 2026 многие команды боятся ставить сторонние skills из маркетплейса ClawHub, хотя без plugin-экосистемы Gateway не масштабируется. Статья для команд с уже работающим Gateway, готовящих production rollout ClawHub skills: security runbook с clawhub inspect, clawhub pin, whitelist allowBundled, поэтапным rollout (read-only → write → system calls), ротацией ключей и openclaw doctor—дополняет гайд по установке, hardening Gateway и MCP whitelist.
С февраля 2026 зафиксирована массовая отравка registry OpenClaw ClawHub под именем ClawHavoc: skills под видом crypto-tracker, YouTube-утилит и productivity-плагинов использовали ClickFix 2.0—social engineering в SKILL.md с «prerequisites» вроде curl | bash—для кражи API keys, env vars, macOS infostealer или Windows reverse shell. Koi Security находил до 12 % malicious entries; OpenClaw ввёл Phase-2 moderation с multi-signal arbitration. Registry scan не заменяет runtime governance в вашем кластере.
Skills исполняются в контексте процесса Gateway с его UID, env и file descriptors. Один malicious skill читает все Provider keys, доступные agent process—это прямой путь к lateral movement через MCP tools и exec hooks.
ClawHub как npm без фильтра: install потому что «есть в marketplace».
Доверие только stars/downloads: ClawHavoc накручивал метрики и подделывал slug.
Не читать SKILL.md: payload прячется в «environment setup».
Experiment и prod в одном workspace: ./skills и ~/.openclaw/skills смешивают write/exec между agents.
Patch CVE без inventory skills: после CVE-2026-25253 старые malicious skills остаются на диске.
MCP whitelist не синхронизирован: новые tools из skill без записи в openclaw.json обходят exec approval.
| Источник | Audit cost | Фаза | Главный риск |
|---|---|---|---|
| Bundled (npm ship) | Низкий; + allowBundled | Production baseline | Ограниченный функционал; upgrade привязан к релизу OpenClaw |
| In-house ./skills | Контролируемый; internal PR | Prod customization | Maintenance; pin версий |
| ClawHub high-trust | Средний; inspect + manual SKILL.md | Staging / read-only | Compromised author; malicious update diff |
| ClawHub new / low downloads | Высокий; isolated VM | Только lab | ClawHavoc clone, ClickFix |
| First install | — | Onboarding | См. ClawHub install guide |
«Registry clean» = текущий scan passed. Production standard: кто установил, какая версия, какие keys reachable, rollback за 10 минут.
Предпосылка: Gateway daemon через openclaw onboard --install-daemon. Docker isolation: Compose production volumes; Linux systemd: Ubuntu systemd.
Inventory: openclaw skills list + clawhub list; slug, version, path (workspace ./skills vs ~/.openclaw/skills).
Pre-install inspect: clawhub search "keyword" → clawhub inspect <slug>; moderation verdict, author portfolio, changelog spikes.
Isolated trial: non-prod workspace, clawhub install <slug>; полный SKILL.md; reject curl/bash с non-official domains.
pin + read-only: после acceptance clawhub pin <slug>; agent без write/exec; + exec approval и networkPolicy.
allowBundled whitelist: в openclaw.json skills.allowBundled только bundled + pinned slugs; остальное через change ticket.
doctor + observability: openclaw doctor --deep; openclaw logs --follow после новой session; cross-check MCP tool registry.
# 2026 ClawHub production selection — audit → trial → pin → whitelist openclaw skills list clawhub list clawhub search "summarize" clawhub inspect summarize-web --version latest # Isolated workspace (example) cd ~/openclaw-staging && clawhub install summarize-web grep -R "curl\|bash\|wget" skills/*/SKILL.md clawhub pin summarize-web openclaw config set skills.allowBundled '["memory-core","summarize-web"]' openclaw gateway restart openclaw doctor --deep
Tip: clawhub update --all ломает pin discipline—prod cron только ticket-driven updates с re-inspect в staging.
Warning: SKILL.md с export API keys в shell profile — plaintext в env Gateway; используйте openclaw configure или SecretRef.
При подозрении на malicious skill: revoke → clean → rotate.
Stop Gateway: openclaw gateway stop или systemd stop—блок outbound.
Uninstall skill: clawhub uninstall <slug> или удалить skills/<slug>/; проверить crontab/LaunchAgent на persistence.
Rotate credentials: все LLM Provider keys, Brave Search, Gateway token (gateway.auth.token); spikes в консолях провайдеров.
Re-acceptance: openclaw doctor --fix + auth troubleshooting.
Trial skills на ноутбуке или shared VPS смешивает experiment dir и prod Gateway под одним UID—Provider keys на том же host. Unsupported macOS VM без snapshot rollback усложняет forensics; Metal/signing debt накапливается при каждом Xcode bump.
Workflow staging skill trial → pin → promote to prod стабильнее на dedicated snapshot-capable macOS node с SSH, как VPS, но с native Apple toolchain. Для команд, которым нужна обслуживаемая Mac capacity со стандартным runbook-образом, аренда Mac Mini в облаке NodeMini обычно оптимальнее—в связке с remote Mac launchd и iOS CI на той же машине, без collision «malware trial + prod keys» на одном device.
Да, с audit-before-install: inspect, pin, allowBundled в production. Основы: ClawHub guide.
allowBundled — какие skills загружаются; MCP whitelist — какие external tools они вызывают. См. MCP article.
Разделяйте trial и prod; specs и billing: цены аренды, подключение: help center.