2026 年ClawHavoc供應鏈攻擊後,許多團隊不敢再從 ClawHub 裝第三方 Skills,卻又離不開外掛生態。本文面向已跑通 Gateway、準備生產放量 ClawHub 技能的開發者,給出與安裝入門分工明確的安全選型 Runbook:clawhub inspect 審計、clawhub pin 凍結版本、allowBundled 白名單、分級放量(唯讀→寫入→系統呼叫),以及裝錯後的 Key 輪換與 openclaw doctor 驗收;並與 Gateway 安全加固、MCP 白名單 銜接。
2026 年 2 月起,資安團隊披露針對 OpenClaw 官方技能市集 ClawHub 的大規模投毒行動 ClawHavoc:攻擊者批量上傳偽裝成加密貨幣追蹤、YouTube 工具、效率外掛的惡意 Skills,利用 ClickFix 2.0 社工——在 SKILL.md「前置安裝要求」裡誘導使用者複製貼上 curl | bash——竊取 API Key、環境變數,甚至植入 macOS 資訊竊取器或 Windows 反彈 shell。Koi Security 審計曾發現 registry 中約 12% 技能含惡意載荷;官方隨後上線 Phase 2 moderation 多訊號仲裁,但註冊表審查不能替代你的執行時期治理。
把 ClawHub 當 npm 隨便裝:Skills 在 Gateway 行程權限下執行,一條惡意 skill 可能讀到所有 Provider Key。
只看 star/下載量:ClawHavoc 批次曾用刷量與仿冒知名 slug 欺騙排序。
跳過 SKILL.md 人工閱讀:惡意前置步驟往往藏在「環境準備」小節,不像正常文件那樣顯眼。
生產與實驗共用一個 workspace:./skills 與 ~/.openclaw/skills 混用,實驗 skill 的寫入權限污染生產 Agent。
只補 CVE、不做技能盤點:CVE-2026-25253 修補打了,歷史裝的惡意 skill 仍在磁碟。
與 MCP 白名單脫節:Skill 引入的新工具未納入 openclaw.json 權限邊界,exec 審批形同虛設。
| 來源 | 審計成本 | 適合階段 | 主要風險 |
|---|---|---|---|
| Bundled(npm 自帶) | 低;配合 allowBundled | 生產基線 | 功能有限;升級隨 OpenClaw 發版 |
| 團隊自研 ./skills | 可控;走內部 PR | 生產客製 | 維護成本;需 pin 版本 |
| ClawHub 高信譽 skill | 中;inspect + 人工讀 SKILL.md | 預發 / 唯讀放量 | 作者帳號被盜;更新引入惡意 diff |
| ClawHub 新上傳 / 低下載 | 高;建議隔離機試跑 | 僅實驗 VM | ClawHavoc 仿冒、ClickFix 社工 |
| 與安裝入門文分工 | — | 首次 onboard | 見 ClawHub 安裝全攻略 |
「Registry 說 clean」只代表當下掃描通過;你的生產標準應是:誰裝的、哪一版、能觸達哪些 Key、失敗時怎麼 10 分鐘回滾。
以下順序假設 Gateway 已透過 openclaw onboard --install-daemon 常駐;Docker 隔離部署見 Compose 生產卷,Linux systemd 見 Ubuntu systemd。
盤點現況:openclaw skills list + clawhub list;記錄 slug、版本、安裝路徑(workspace ./skills vs ~/.openclaw/skills)。
安裝前 inspect:clawhub search "關鍵字" → clawhub inspect <slug>;查看 moderation verdict、作者其他 skill 數量、changelog 是否突然大改。
隔離試裝:在非生產 workspace 執行 clawhub install <slug>;人工通讀 SKILL.md,拒絕任何「請執行以下 curl/bash 完成依賴」且來源非官方網域的段落。
pin 凍結 + 唯讀放量:驗收通過後 clawhub pin <slug>;先在 Agent 上停用寫碟/exec 工具,僅驗證檢索類能力;配合 exec 審批與 networkPolicy。
設定 allowBundled 白名單:在 openclaw.json 的 skills 段設定 allowBundled 陣列,生產節點僅允許列名內的 bundled skill + 已 pin 的 ClawHub slug;其餘 install 請求走變更工單。
doctor 驗收與觀測:openclaw doctor --deep;新 session 後 openclaw logs --follow 確認 skill 載入無異常;與 MCP 白名單交叉核對工具註冊表。
# 2026 ClawHub 生產選型 — 審計 → 試裝 → pin → 白名單 openclaw skills list clawhub list clawhub search "summarize" clawhub inspect summarize-web --version latest # 隔離 workspace 試裝(範例) cd ~/openclaw-staging && clawhub install summarize-web grep -R "curl\|bash\|wget" skills/*/SKILL.md clawhub pin summarize-web openclaw config set skills.allowBundled '["memory-core","summarize-web"]' openclaw gateway restart openclaw doctor --deep
提示:clawhub update --all 會繞過 pin 策略的「心理安全」——生產 cron 應改為「工單驅動更新」,並在預發重跑 inspect。
注意:若 SKILL.md 要求 export 第三方 API Key 到 shell profile,優先改用 openclaw configure 或 SecretRef,避免明文進 Gateway 環境。
懷疑已裝惡意 skill 時,按先斷權、再清理、後輪換執行:
立即停 Gateway:openclaw gateway stop 或 systemd stop,阻斷進一步 outbound。
解除安裝 skill:clawhub uninstall <slug> 或刪除對應 skills/<slug>/ 目錄;檢查 crontab / LaunchAgent 是否被寫入異常項目。
輪換憑證:所有 LLM Provider Key、Brave Search Key、Gateway Token(gateway.auth.token);檢查 Anthropic/OpenAI 主控台是否有異常呼叫尖峰。
重新驗收:openclaw doctor --fix + 對照 鑑權排錯專文。
在筆電或共享 VPS 上做 skill 試裝,容易把實驗目錄與生產 Gateway 混在同一使用者下;而獨占、可快照回滾的 macOS 節點更適合「預發試 skill → pin → 晉升生產」的分層流程。若你需要像租 VPS 一樣快速取得可 SSH 維護、可把本 Runbook 寫進標準映像的 Mac 算力,NodeMini 的 Mac Mini 雲端租賃通常是更優解:與 遠端 Mac launchd 常駐、iOS CI 同機編排同一維運心智,減少「在家試裝惡意 skill、公司生產 Key 同機暴露」的割裂風險。
可以,但必須先審後裝:inspect moderation 訊號、pin 版本、生產配合 allowBundled。入門安裝流程見 ClawHub 安裝全攻略。
allowBundled 管哪些 skill 可被載入;MCP 白名單管skill 能調哪些外部工具。二者疊加才構成完整邊界。詳見 MCP 工具鏈專文。
試裝與生產應分節點或分 workspace;規格與計費見 雲端 Mac 租賃價格,接入問題見 說明中心。