2026 年 1 月 27 日,一名加密货币交易者安装了一个名为"优化交易费率"的 AI 技能。
三天后,他的钱包密钥、SSH 凭证、浏览器密码全部被盗空。
这个技能只是 ClawHub 上 1,184 个恶意技能中的一个,占总数的 11%。
这就是现实:在一个号称"2 万个技能任你选"的开放集市里,你找到的可能不是生产力工具,而是数字世界的隐形炸弹。
---
从"会说话"到"会干活":AI 的手脚革命
模型本身像大脑:理解意图、推理、生成内容都很强。
但它天生没有手脚。
它不会自己去打开网页、填写表单、抓取数据,也不会直接进入你的 GitHub 仓库查 issue 或把音频转成结构化文字。
Skill,本质上就是给 AI 装"手脚"的能力包。
装 agent-browser,AI 才能执行浏览器动作。装 openai-whisper,AI 才能处理语音转文字。装 github,AI 才能进入仓库协作流程。
真正的分水岭不是"你会不会问问题",而是"你有没有把执行链路接起来"。
---
ClawHub:1.3 万个技能背后的选择地狱
如果说 Skill 是给 AI 装"手脚"的能力包,那 ClawHub 就是全球最大的手脚集市。
它是一个开放的 Skill 聚合生态,任何开发者都可以把自己写的技能发布上去。
目前,ClawHub 上架的技能数量已经超过 2.1 万个,而且每天还在增加。
这个数字的增长速度令人咋舌:
三个月时间,技能数量暴涨 62%,社区贡献者从 0 增长到 880+ 位。
这听起来很棒——理论上,你需要的任何能力扩展,都能在这里找到现成的。
但这里有一个现实问题:规模先带来的是选择复杂度,而不是直接生产力。
典型阻力有四层:
1. 选择成本高:同类技能名字相近、能力差异细微,新手很难做首选
2. 访问体验不稳:跨区网络、限流、超时,导致"想试用"变成"先折腾"
3. 安全判断难:开放生态下,权限范围、维护状态、可信度很难快速判断
4. 语义映射断层:用户说"整理会议纪要",市场里是 summarize / whisper / notes,中间靠经验翻译
这四层叠加,结果就是:**看起来有 2 万多个选择,实际上很多人迟迟跑不通第一条闭环。**
---
SkillHub:腾讯版"手脚集市",真能救场?
腾讯在 3 月 11 日推出了 SkillHub,专为中国用户优化的 AI Skills 社区。
官方定位很明确:解决 ClawHub 的三大痛点——网络慢、搜索体验差、中文社区缺失。
但就在上线当天,一场争议引爆了 AI 圈。
OpenClaw 创始人的公开喊话
3 月 12 日,OpenClaw 创始人 Peter Steinberger(人称"龙虾之父")在社交媒体上公开发文:
- "他们抄袭却不以任何方式支持这个项目。愿意帮帮忙吗?而不是让我的服务器成本飙升到五位数?"
核心矛盾在于:腾讯在未事前沟通的情况下大规模抓取 ClawHub 数据,导致官方服务器成本激增。
腾讯 AI 官方迅速回应
- "SkillHub 是本地镜像平台,我们很透明,一直将 ClawHub 作为来源署名。第一周我们处理了 180GB 流量(87 万次下载),而从官方来源只拉取了 1GB。我们团队许多成员都是 OpenClaw 的积极贡献者。"
这个数据对比很残酷:**180GB vs 1GB,差距高达 180 倍。**
这意味着什么?每 180 次中国用户的下载,OpenClaw 官方服务器只产生 1 次成本分摊。但这个成本分摊不是通过商业合作或赞助实现的,而是通过未事前沟通的大规模抓取。
争议的本质不是"抄袭",而是开放生态的商业边界。
当开源项目的核心资产(2 万个社区贡献的技能)被国内巨头大规模镜像时,这个开源项目能从镜像中获益多少?
腾讯给的是访问速度优化和中文榜单,开源项目付出的是服务器成本和维护压力。
---
ClawHavoc:2 万个技能背后的安全隐忧
如果你以为选对了 Skill 就万事大吉,那可能低估了这个开放生态的风险。
就像开头提到的加密货币交易者,他安装的技能表面上只请求了"优化交易"的权限,但后台代码偷偷运行了一个名为 Atomic macOS Stealer 的木马程序。
更隐蔽的是,这个恶意技能还通过修改 OpenClaw 的 MEMORY.md 文件,让这个 Agent 记住"优先使用某个加密货币交易所"——即使受害者删除了技能,这个"记忆"依然存在。
2026 年 1 月底,安全公司 Koi Security 发现了这类攻击的大规模爆发,代号 ClawHavoc。
更可怕的是,攻击者利用了 OpenClaw 的持久记忆机制——通过修改 SOUL.md 和 MEMORY.md 文件来永久改变 Agent 的行为模式。
根本原因:事件发生时的 ClawHub 发布门槛极低,只需要一个注册满一周的 GitHub 账号即可发布技能,无自动化审核、无代码审查、无签名验证。
ClawHavoc 事件后,OpenClaw 团队加强了审核机制,但作为开放平台,安全风险无法完全消除。
---
新手指南:如何在 2 万个技能中活下来?
文章提到的 SkillHub 精选榜单和 Top50 清单确实有用,但还不够完整。
第一批:5 个必装 + 1 个场景位
5 个必装(安全优先 + 基础链路):
1. *find-skills**:任务到技能的反向推荐器
2. *skill-vetter**:安装前权限与风险扫描(**新增建议**)
3. *summarize**:信息压缩层(长文/PDF/网页/音视频)
4. *agent-browser**:执行动作层(浏览器自动化)
5. *api-gateway**:外部系统连接层
+1 场景位(二选一):
- 开发向github
- 办公向gog
验证口令示例
- find-skills:我想把一段录音转成文字,推荐什么技能?
- skill-vetter:帮我检查一下 notion 技能的权限(**务必检查**)
- summarize:帮我总结这篇文章的核心要点。
- agent-browser:帮我打开百度,搜索 SkillHub。
- api-gateway:列出当前可用的 API 连接。
跑通第一个闭环任务
装完第一批并重启后,立刻做一个跨技能任务:
- "先总结这篇文章,再在浏览器里搜索作者最近动态,并把结果整理成 5 条要点。"
链路是summarize 做信息压缩 → agent-browser 执行检索动作 → (可选github / gog 继续写入目标系统。
能稳定看到可复现结果,才算真正"装会了",不是"装过了"。
---
三个高频坑,提前知道省一万块钱
坑一:一次装太多
错误做法:A 朋友一次导入 52 个技能,三个月后只稳定用上 3 个,其余 49 个占用存储和初始化时间。
正确做法:B 朋友第一周只装 5 个技能,但每装 1 个就跑通一个真实任务(比如自动日报、会议纪要整理、GitHub PR 监控)。三个月后,这 5 个技能每天为他节省 3 小时人工时间。
对比数据:
- A 朋友:52 技能 × 3 个月 = 156 次尝试,0 条稳定闭环
- B 朋友:5 技能 × 5 条闭环 × 3 个月 = 每天 3 小时自动化收益
正确做法:每次新增 1 个,必须配 1 个真实任务验证,再进入下一项。
坑二:导入后不重启
很多"装了没反应"的问题,本质是导入后没重启 CodeBuddy IDE。
坑三:忽略安全审查(最危险)
手动审查 SKILL.md:安装任何社区 Skill 前,先打开其 SKILL.md 文件,检查是否包含可疑的 Shell 命令或网络请求。
避免加密货币类 Skill:这是 ClawHavoc 攻击的重灾区。
定期检查 MEMORY.md:确认 Agent 的持久记忆没有被篡改。
限制 Agent 权限:不要给 OpenClaw 过高的系统权限。
---
你的三步行动
今天:完成 find-skills + skill-vetter 导入与验证。
本周:装完第一批 5+1,并跑通至少 1 条跨技能闭环。
本月:按业务场景从 Top50 扩展第二批,形成你的稳定执行栈。
---
最后的话
文章开头说,2 万个技能先是一道筛选题。
筛选的不是你有没有时间去试,筛选的是你有没有一套能跑通的节奏。
大多数人卡在"装了什么都能做"的幻觉里,迟迟没有跑通第一条闭环。
真正用顺的人,都是从 5 个技能开始,做完一件真实的事,然后再往外扩。
你不需要装得最多,你需要先跑得最稳。
跑稳了之后,2 万个选择才真的是你的。
---
ClawHub 是 AI Agent 的"应用商店",SkillHub 是它的"国内镜像加速器",但别忘了:应用商店也藏着恶意软件,镜像站也可能没跟上游分钱。
安装前审查,跑通闭环,这比榜单更重要。
