辽宁
大家好,我是One,
最近 OpenClaw(以前叫 Moltbot/Clawdbot)火得一塌糊涂! 很多兄弟都在后台问我怎么玩, 怎么装插件让 AI 飞起来。
大家肯定都知道 GitHub 上那个最火的技能库:
我也在用! 这玩意儿收录了 3000+ 个技能, 什么写代码、画图、智能家居, 甚至还有帮你炒币的。 看着是真香啊!
但是!兄弟们,别急着冲!先听我说完,不然你底裤都要亏没了!
我们最近对这个库做了一次深度的扫描, 结果真的出乎意料…
先说好消息: 这个仓库本身,非常干净!100% 安全!
我扒了它的代码结构, 全是 Markdown 纯文本, 没有任何.exe.sh.js这种能执行的脚本, 也没有乱七八糟的依赖文件。
也就是说, 你逛这个仓库,就像逛超市一样, 只看不买,绝对没事! 随便看!
但是!坏消息来了!真正的坑,在超市货架上的那些商品里!
虽然超市是正规的, 但架不住有人往里面塞“毒苹果”啊!
给你们看一组数据, 这是官方维护者公开的筛选记录, 看完我直接背脊发凉:
一共分析了 5,705 个技能, 结果呢?直接干掉了 2,748 个!接近一半的技能都有问题!
更吓人的是这组数据: ❌恶意技能(已实锤):396 个!垃圾/机器人账号:1,180 个!高风险币圈相关:672 个!
兄弟们,看清楚了! 那 396 个是**“恶意技能”**! 不是代码写得烂, 是人家故意写出来搞你的!
你要知道, OpenClaw 的权限可是很大的! 一旦你装了这些带毒的插件, 意味着什么?
1.系统裸奔:它能直接在你的电脑上执行 Shell 命令!
2.文件被偷:你的
.env文件、你的 SSH 密钥、你的照片…它想拿就拿!3.变成肉鸡:帮你挖矿那是轻的,搞不好你的电脑就成了黑客攻击别人的跳板!
这就是在刀尖上跳舞啊!你以为装个插件是帮你在干活,其实它在偷你的家!
那咋办? OpenClaw 还能用吗? 当然能用!工具是无罪的!
只要你不傻, 按照下面这几招来, 照样能安全地爽!
One掌柜给你的保命三招:
第一招:别闭着眼装!先查成分!别看到名字好听就install。 先去 VirusTotal 搜一下链接, 或者直接去 GitHub 看看它的SKILL.md。 连代码都不看一眼就往电脑里装? 心太大了!
第二招:权限最小化!安装的时候,看清楚它要什么权限! 如果一个简单的“文字转语音”插件, 居然要exec(执行命令) 或者filesystem(读写文件) 权限,直接把它的腿打断!立刻删除!这绝对有鬼!
第三招:永远不要在真机裸奔!这是铁律! 搞个 Docker 容器, 或者弄个虚拟机。 让它在隔离环境里跑! 就算炸了,也就是炸个容器, 你的主机毫发无伤!
兄弟们, AI 生态发展太快了, 但这也就是黑客们眼里的肥肉。
那个awesome-openclaw-skills库, 官方虽然已经帮我们过滤了 2000 多个垃圾, 但剩下的 3000 多个, 谁也不敢保证 100% 没漏网之鱼。
便利性永远不应该以安全性为代价!
保持一点点“老派”的谨慎, 哪怕麻烦一点点, 多看一眼代码,多搞个隔离, 总比到时候哭着找回数据强!
以上!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
