有人用WorkBuddy（OpenClaw的兄弟项目）配了个京东秒杀任务，开售前10秒自动打开商品页，识别倒计时结束，点击购买，填地址，提交订单。全程不用手点。还有人直接导入社区Skill插件，一个yaml文件，启用后就能跑。更野的玩法是绑企业微信，开售前30秒发条消息，电脑上的Claw就被唤醒了，自动完成抢购。

抢购的本质是“比别人快0.1秒”。人眼看到按钮变亮，手指移过去点击，至少0.3秒。OpenClaw监测到DOM元素状态变化，触发点击事件，0.05秒内完成。差距就在这里。

有开发者写过一个耐克抢鞋监控程序，版本号1.27.5，专门监测SNKRS的发售状态，检测到库存变化自动加入购物车、完成支付。程序还声明“未触发反病毒警报”，说明做了代码混淆和规避设计，不是不想报，是不让杀毒软件看出来。

配置方法不复杂。先确定你要监测什么——茅台抢购页面，监测的是“立即购买”按钮从灰色变蓝色；耐克抢鞋，监测的是“已售罄”变成“加入购物车”。用浏览器开发者工具找到对应元素的ID或class，填进OpenClaw的监测规则里。

检查频率也有讲究。太快会被网站封IP，太慢抢不到。有经验的把间隔设在0.5到2秒之间，再配合多IP轮询。条件判断要设多层：先判断按钮是否可点，可点就执行点击；点击后判断是否弹出验证码，有就调用OCR识别；支付环节判断是否成功，失败就重试。

网上流传的“抢购Skill”不少，但来路不明的别乱装。

工信部国家互联网应急中心3月10日刚发了风险提示，指出OpenClaw存在插件投毒、提示词注入、权限滥用等多重风险。360创始人周鸿祎也公开表示，养龙虾需要建立严格规则约束。

已经有人踩坑了。江西湖口县的王先生在抖音看到“OpenClaw安装，不懂代码也能会，远程操作、包教包会，仅需600元”的广告，加了“技术员”微信。对方远程控制他的电脑，以“授权”为由让他登录支付宝、微信，还反复要验证码。最后电脑卡顿关机，再开机发现支付宝被刷走9000多，微信零钱也被转走。

还有更隐蔽的攻击。Netskope威胁实验室发现，攻击者在GitHub上投放了300多个木马化套件，伪装成OpenClaw部署工具、抢鞋脚本、加密钱包追踪器。恶意程序会截图、定位、窃取Cookie和SSH密钥，然后发往德国的C2服务器。

所以抢购Skill可以装，但只装官方市场或社区验证过的。CSDN上有博主分享过开源抢购脚本，代码公开，能自己审查。那种“加密压缩包、需要密码解压、解压后是exe”的，别碰。真要运行，也先在虚拟机里跑。

抢茅台这事，有人问“成功率多少”。实话实说，没人能保证。OpenClaw只是帮你把“手速”提到极限，但网站的风控、库存、网络延迟，这些不在它控制范围内。有人用WorkBuddy抢到了，发帖炫耀；也有人挂了十几个实例，毛都没抢到。

服务器位置也有讲究。京东的服务器在北京，你用杭州的云主机跑OpenClaw，延迟3毫秒；用家里的宽带，延迟30毫秒。别小看这点差距，在秒杀场景里就是“抢到”和“已售罄”的区别。建议把OpenClaw部署在离目标服务器最近的云节点上，阿里云北京地域跑京东抢购，效果最好。

此外，你要模拟的抢购脚本可以在 OpenClaw脚本 专题里找到现成的配置模板。安装配置时，记得对照官方安全指南把权限设好。网上那些付费的安装服务，已经有人被骗了9000多块，千万别踩这个坑。