你装的Skill可能是木马：OpenClaw的1184个恶意插件。马上进行5步自检保平安！ 你的龙虾装了几个Skill？ 5个？10个？20个？ 装的时候你做了什么？大概率是这样——看到个好玩的Skill，点安装，等它跑完，试一下，好使，收工。 有没有看过Skill的源码？有没有翻过它的SKILL.md里到底写了什么？ 大概率没有。我也没有。 但现在我建议你回去看看。因为安全研究人员刚刚发现，ClawHub上有1184个恶意Skill。装上之后，它们会偷你的浏览器密码、加密钱包、SSH密钥。 据不完全统计，至少有13.5万个OpenClaw实例直接挂在公网上。93.4%能绕过认证。 说人话：你的OpenClaw如果装完啥都没配就跑起来了，攻击者基本可以直连。 你的AI助手，可能正在帮别人搬你家。 自保指南：5步自检： 如果你在用OpenClaw，现在花5分钟做一遍。 1. 更新版本 # 查看当前版本 openclaw --version # 更新到最新 openclaw update 确保版本号 ≥ 2026.2.26。这个版本修复了ClawJacked和多个已知漏洞。 2. 审查已安装的Skill # 列出所有已安装的Skill ls ~/.openclaw/skills/ 逐个检查： 这个Skill是你主动装的吗？ 它的GitHub仓库还存在吗？Star数正常吗？ SKILL.md里有没有让你「运行某个命令」的步骤？ Python文件里有没有可疑的subprocess、os.system、https://t.co/2rAEBKvcPP调用？ 看不懂代码？那至少把你不认识的、不记得装过的Skill全删了。 3. 关闭公网暴露 如果你的OpenClaw跑在云服务器上： 检查防火墙规则，确保Gateway端口不对公网开放 用VPN或SSH隧道访问，别直接暴露端口 开启身份认证，别用默认配置裸跑 4. 换掉可能泄露的凭据 如果你不确定自己有没有中招，保险起见： 改掉浏览器里保存的重要密码 重新生成SSH密钥对 轮换所有API Token（GitHub、云服务、AI模型） 检查加密钱包有没有异常转账 5. 以后装Skill前多看一眼 优先装Star数高、维护活跃的Skill 翻一下README和SKILL.md，看有没有让你跑可疑命令的 有条件的话，先在虚拟机或容器里试跑 关注OpenClaw官方的安全公告 #AI #AIAgent