2026 年ClawHavoc供应链攻击后,很多团队不敢再从 ClawHub 装第三方 Skills,却又离不开插件生态。本文面向已跑通 Gateway、准备生产放量 ClawHub 技能的开发者,给出与安装入门分工明确的安全选型 Runbook:clawhub inspect 审计、clawhub pin 冻结版本、allowBundled 白名单、分级放量(只读→写→系统调用),以及装错后的 Key 轮换与 openclaw doctor 验收;并与 Gateway 安全加固、MCP 白名单 衔接。
2026 年 2 月起,安全团队披露针对 OpenClaw 官方技能市场 ClawHub 的大规模投毒行动 ClawHavoc:攻击者批量上传伪装成加密货币追踪、YouTube 工具、效率插件的恶意 Skills,利用 ClickFix 2.0 社工——在 SKILL.md「前置安装要求」里诱导用户复制粘贴 curl | bash——窃取 API Key、环境变量,甚至植入 macOS 信息窃取器或 Windows 反弹 shell。Koi Security 审计曾发现 registry 中约 12% 技能含恶意载荷;官方随后上线 Phase 2 moderation 多信号仲裁,但注册表审查不能替代你的运行时治理。
把 ClawHub 当 npm 随便装:Skills 在 Gateway 进程权限下运行,一条恶意 skill 可能读到所有 Provider Key。
只看 star/下载量:ClawHavoc 批次曾用刷量与仿冒知名 slug 欺骗排序。
跳过 SKILL.md 人工阅读:恶意前置步骤往往藏在「环境准备」小节,不像正常文档那样显眼。
生产与实验共用一个 workspace:./skills 与 ~/.openclaw/skills 混用,实验 skill 的写权限污染生产 Agent。
只补 CVE、不做技能盘点:CVE-2026-25253 补丁打了,历史装的恶意 skill 仍在磁盘。
与 MCP 白名单脱节:Skill 引入的新工具未纳入 openclaw.json 权限边界,exec 审批形同虚设。
| 来源 | 审计成本 | 适合阶段 | 主要风险 |
|---|---|---|---|
| Bundled(npm 自带) | 低;配合 allowBundled | 生产基线 | 功能有限;升级随 OpenClaw 发版 |
| 团队自研 ./skills | 可控;走内部 PR | 生产定制 | 维护成本;需 pin 版本 |
| ClawHub 高信誉 skill | 中;inspect + 人工读 SKILL.md | 预发 / 只读放量 | 作者账号被盗;更新引入恶意 diff |
| ClawHub 新上传 / 低下载 | 高;建议隔离机试跑 | 仅实验 VM | ClawHavoc 仿冒、ClickFix 社工 |
| 与安装入门文分工 | — | 首次 onboard | 见 ClawHub 安装全攻略 |
「Registry 说 clean」只代表当下扫描通过;你的生产标准应是:谁装的、哪一版、能触达哪些 Key、失败时怎么 10 分钟回滚。
以下顺序假设 Gateway 已通过 openclaw onboard --install-daemon 常驻;Docker 隔离部署见 Compose 生产卷,Linux systemd 见 Ubuntu systemd。
盘点现状:openclaw skills list + clawhub list;记录 slug、版本、安装路径(workspace ./skills vs ~/.openclaw/skills)。
安装前 inspect:clawhub search "关键词" → clawhub inspect <slug>;查看 moderation verdict、作者其他 skill 数量、changelog 是否突然大改。
隔离试装:在非生产 workspace 执行 clawhub install <slug>;人工通读 SKILL.md,拒绝任何「请运行以下 curl/bash 完成依赖」且来源非官方域名的段落。
pin 冻结 + 只读放量:验收通过后 clawhub pin <slug>;先在 Agent 上禁用写盘/exec 工具,仅验证检索类能力;配合 exec 审批与 networkPolicy。
配置 allowBundled 白名单:在 openclaw.json 的 skills 段设置 allowBundled 数组,生产节点仅允许列名内的 bundled skill + 已 pin 的 ClawHub slug;其余 install 请求走变更工单。
doctor 验收与观测:openclaw doctor --deep;新 session 后 openclaw logs --follow 确认 skill 加载无异常;与 MCP 白名单交叉核对工具注册表。
# 2026 ClawHub 生产选型 — 审计 → 试装 → pin → 白名单 openclaw skills list clawhub list clawhub search "summarize" clawhub inspect summarize-web --version latest # 隔离 workspace 试装(示例) cd ~/openclaw-staging && clawhub install summarize-web grep -R "curl\|bash\|wget" skills/*/SKILL.md clawhub pin summarize-web openclaw config set skills.allowBundled '["memory-core","summarize-web"]' openclaw gateway restart openclaw doctor --deep
提示:clawhub update --all 会绕过 pin 策略的「心理安全」——生产 cron 应改为「工单驱动更新」,并在预发重跑 inspect。
注意:若 SKILL.md 要求 export 第三方 API Key 到 shell profile,优先改用 openclaw configure 或 SecretRef,避免明文进 Gateway 环境。
怀疑已装恶意 skill 时,按先断权、再清理、后轮换执行:
立即停 Gateway:openclaw gateway stop 或 systemd stop,阻断进一步 outbound。
卸载 skill:clawhub uninstall <slug> 或删除对应 skills/<slug>/ 目录;检查 crontab / LaunchAgent 是否被写入异常条目。
轮换凭据:所有 LLM Provider Key、Brave Search Key、Gateway Token(gateway.auth.token);检查 Anthropic/OpenAI 控制台是否有异常调用尖峰。
重新验收:openclaw doctor --fix + 对照 鉴权排错专文。
在笔记本或共享 VPS 上做 skill 试装,容易把实验目录与生产 Gateway 混在同一用户下;而独占、可快照回滚的 macOS 节点更适合「预发试 skill → pin → 晋升生产」的分层流程。若你需要像租 VPS 一样快速拿到可 SSH 维护、可把本 Runbook 写进标准镜像的 Mac 算力,NodeMini 的 Mac Mini 云端租赁通常是更优解:与 远程 Mac launchd 常驻、iOS CI 同机编排同一运维心智,减少「在家试装恶意 skill、公司生产 Key 同机暴露」的割裂风险。
可以,但必须先审后装:inspect moderation 信号、pin 版本、生产配合 allowBundled。入门安装流程见 ClawHub 安装全攻略。
allowBundled 管哪些 skill 可被加载;MCP 白名单管skill 能调哪些外部工具。二者叠加才构成完整边界。详见 MCP 工具链专文。