OpenClaw 的上限,很大程度上取决于你怎么用 Skills。但 Skills 同时也是最容易把系统搞乱、搞贵、搞不安全的地方。
01 Skills 到底是什么
Skills 可以理解成 OpenClaw 的能力插件。模型之所以知道“自己还能做什么”,很多时候靠的就是这些 Skill 描述和执行逻辑。
三层优先级
Skills 来源可以分成三层,优先级从高到低如下:
| 优先级 | 路径 | 作用范围 |
|---|---|---|
| 最高 | <workspace>/skills/ | 当前项目专用 |
| 中 | ~/.openclaw/skills/ | 当前用户全局可用 |
| 最低 | bundled skills | OpenClaw 自带 |
同名 Skill 如果同时存在,高优先级会覆盖低优先级。
这意味着你可以:
- 在单个项目里重写某个内置能力
- 保持团队项目共享相同的 Skills
- 不影响其他工作区的行为
02 Skills 是如何加载的
OpenClaw 在启动或处理消息时,会大致走下面这套流程:
- 扫描 Skill 目录
- 读取
SKILL.md - 解析描述、触发条件、环境变量要求
- 注入环境变量
- 把可用 Skill 描述写进 system prompt
- 执行完成后恢复原始环境
核心点在于:Skill 不只是文件夹,它会真实影响模型的可见能力与决策空间。
03 ClawHub 与技能市场
ClawHub 是 OpenClaw 的官方 Skill 注册表,作用有点像 npm。
它提供的能力主要包括:
- Skill 发布与版本管理
- 搜索与发现
- 下载量和社区评分
- 基础安全扫描
市场规模
| 指标 | 数据 |
|---|---|
| 总注册技能 | 13,729 |
| 精选技能 | 5,494 |
| 被过滤技能 | 6,940 |
| 恶意技能峰值 | 800+ |
这一组数字非常说明问题:数量很大,但不能盲信。
常用命令
openclaw skills install <skill-name>
openclaw skills search "browser automation"
openclaw skills list
openclaw skills uninstall <skill-name>04 热门 Skills 与常见分类
Skill 市场里最密集的几类主要是:
- 编码 Agent 与 IDE
- Web 与前端开发
- DevOps 与云
- 搜索与研究
- 浏览器自动化
- 生产力与任务管理
常见热门 Skills
| Skill | 典型用途 |
|---|---|
| Gmail / Google | 邮件、日历、文档读写 |
| Agent Browser | 浏览器自动化 |
| Summarize | 总结网页、视频、邮件 |
| GitHub | 仓库、PR、Issue 处理 |
| Claude Code | 编程能力桥接 |
| Web Search | 联网搜索 |
| File Manager | 文件管理 |
| Calendar | 日程管理 |
| Translator | 翻译 |
| Image Gen | 生图 |
一个很实用的建议是:不要一口气装太多 Skills。
原因很简单:
- 每个 Skill 都会增加提示词长度
- 会增加决策噪音
- 也会增加安全面
对多数人来说,先装 3 到 5 个高频技能,比一开始堆满一整套插件更靠谱。
05 自建 Skill:从一个文件夹开始
OpenClaw 的 Skill 结构其实很朴素。
my-skill/
├── SKILL.md
├── scripts/
├── templates/
└── README.md其中唯一必须的是 SKILL.md。
一个最小可用示例
# My Custom Skill
## Description
帮助用户整理每日工作,并输出结构化日报。
## Trigger
当用户提到“日报”“工作总结”“今日汇报”时激活。
## Instructions
1. 询问用户今天完成了哪些工作
2. 按项目分类整理
3. 标注状态
4. 生成 Markdown 日报
5. 保存到 ~/reports/YYYY-MM-DD.md
## Environment Variables
- REPORTS_DIR: 日报存储目录安装位置
| 方式 | 路径 | 生效范围 |
|---|---|---|
| 项目级 | <workspace>/skills/my-skill/ | 仅当前工作区 |
| 全局 | ~/.openclaw/skills/my-skill/ | 所有工作区 |
如果是团队协作项目,把 Skills 跟着仓库一起管理通常很合适。
发布到 ClawHub
openclaw clawhub login
openclaw clawhub publish ./my-skill06 Skills 安全:ClawHavoc 的教训
Skills 是 OpenClaw 最强的地方之一,也是最危险的地方之一。
ClawHavoc 供应链攻击几乎是整个生态里最值得记住的安全案例。
发生了什么
| 指标 | 数据 |
|---|---|
| 受影响设备 | 135,000+ |
| 恶意 Skills 高峰占比 | 约 20% |
| 初步确认恶意 Skills | 341 |
| 后续扩展扫描发现 | 800+ |
为什么它危险
攻击者并不是简单塞一个“明显恶意”的脚本,而是伪装成正常技能,再诱导你安装额外 helper,最终影响的不只是文件系统,还可能篡改:
SOUL.mdMEMORY.md
一旦这两个文件被动了手脚,Agent 的长期行为就可能被“洗脑”。
最实用的防护建议
- 安装前先看源码,不要只看名字。
- 对任何“还要再装一个 helper”的 Skill 提高警惕。
- 定期检查
SOUL.md和MEMORY.md。 - 优先使用社区精选列表,而不是随手搜到什么装什么。
- 用安全工具做一次扫描。
例如:
npm install -g secureclaw
secureclaw scan ~/.openclaw/skills/这一章你要记住的核心判断
Skill 本质上是受信任代码。
它不是普通提示词附件,而是和你的 OpenClaw 实例共享权限边界的扩展能力。只要理解了这一点,你看待 Skills 的方式就会理性很多。