OpenClaw Skills 與 Plugins 完整指南:從安裝到安全防護的實戰手冊
OpenClaw Skills 與 Plugins 是這個開源 AI Agent 平台的核心擴充機制。截至 2026 年 3 月底,OpenClaw 的公開技能註冊庫 ClawHub 已收錄超過 13,729 個社群開發的 Skills,GitHub 星數突破 32.5 萬顆。但 ClawHub 在 2026 年初爆出大規模供應鏈攻擊——超過 1,184 個惡意 Skills 被 Antiy CERT 確認,約每 12 個套件就有一個帶惡意負載。這篇文章拆解 Skills 跟 Plugins 的架構差異、安裝流程、安全風險,以及 NVIDIA NemoClaw 帶來的企業級防護方案。
Skills 跟 Plugins 到底差在哪?
很多人把 Skills 跟 Plugins 混在一起用,但兩者在 OpenClaw 架構裡扮演不同角色。
Skills 是 Agent 層級的能力模組。每個 Skill 是一個資料夾,裡面放一個 SKILL.md 檔案(含 YAML frontmatter 和操作指令),告訴 Agent 什麼時候該做什麼事、怎麼做。你可以把 Skills 想成手機裡的 App——OpenClaw 本身是作業系統,Skills 是你裝上去的應用程式。
Plugins 則運作在更底層,直接整合進 OpenClaw 的核心 runtime,能修改或擴充底層行為。OpenClaw 的 Plugin 系統支援四大類擴充:
| 類型 | 功能 | 範例 |
|---|---|---|
| Channel Plugins | 接入新的通訊平台 | Telegram、Discord、Slack、Microsoft Teams、LINE、WeChat |
| Memory Plugins | 替換儲存後端 | LanceDB 向量儲存、Cognee 知識圖譜 |
| Tool Plugins | 新增 Agent 可用的工具 | 瀏覽器自動化、Cron 排程 |
| Provider Plugins | 接入新的 LLM | Anthropic、OpenAI、Ollama 本地模型、NVIDIA Nemotron |
舉個實際例子:SecureClaw 同時是 Skill(提供隨需安全稽核功能)也是 Plugin(負責持續的 runtime 安全監控),Skill specification 刻意控制在大約 1,150 tokens 以內,確保安全指令不會佔掉太多 context window。
Skills 的安裝與管理
OpenClaw 用 ClawHub CLI 管理 Skills。基本安裝流程:
# 從 ClawHub 安裝
openclaw skills install <skill-name>
# 或直接貼 GitHub repo URL 到 OpenClaw 聊天視窗,系統會自動處理安裝
# 查看已安裝的 Skills
openclaw skills list
# 更新所有 Skills
clawhub sync --all
Skills 安裝後放在工作區的 skills/ 目錄底下。OpenClaw 的 Skill 載入有明確的優先順序——同名 Skill 衝突時,workspace skills 優先,往下依序是 project agent skills、personal agent skills、managed/local skills、bundled skills,最後才是 skills.load.extraDirs。
Plugins 的安裝稍微不同:
# 從 npm 安裝
openclaw plugins install @openclaw/voice-call
# 從本地路徑安裝
openclaw plugins install ./my-plugin
# 也可以用聊天指令
/plugin install clawhub:@openclaw/voice-call
/plugin enable voice-call
Plugin 系統的架構設計值得一提:它以 npm 套件加 TypeScript exports 為基礎,採用 discovery-based 載入模型。Plugin loader 會掃描 workspace packages 裡的 openclaw.extensions 欄位,驗證 schema 後動態載入。2026 年的重構把 model providers 也拆成獨立的 Plugin,核心套件因此瘦到大約 8MB。
哪些 Skills 和 Plugins 值得裝
經過 VoltAgent 的 Awesome OpenClaw Skills 專案篩選(從 13,729 個過濾到 5,211 個可信任的),以下幾類在生產環境中最常用:
生產力類: Google Workspace 整合的 Gog skill 是 ClawHub 上下載量最高的,超過 14,000 次下載,能統一操作 Gmail、Calendar、Drive、Docs、Sheets 和 Contacts。Notion skill 和 Linear skill 分別處理知識管理和專案追蹤。
通訊類: Slack skill 能摘要頻道訊息、回覆、管理通知。AgentMail 處理 email 自動化。
瀏覽器自動化: Playwright MCP 和 Playwright Scraper 負責網頁操作和資料擷取。
開發者工具: GitHub skill 管理 issues、PRs 和 CI/CD 狀態。Composio 提供單一整合框架,接入超過 860 個外部工具的 API。
長期記憶: Supermemory 和 Cognee 是兩個主要的記憶擴充方案。OpenClaw 預設的記憶機制是 Markdown 檔(~/.openclaw/workspace/MEMORY.md 加上每日 session logs),Cognee 這類 Plugin 則加入語意搜尋和知識圖譜能力。
安全危機:ClawHavoc 事件與 CVE 紀錄
OpenClaw 的安全問題不是理論風險。2026 年初的連環事件是 AI Agent 領域迄今最大的供應鏈攻擊案例。
CVE-2026-25253(CVSS 8.8): 2026 年 1 月 24 日由 NCC Group 的 Mav Levin 揭露,影響所有 2026.1.29 之前的版本。攻擊者透過 Control UI 的 gatewayUrl 參數注入惡意位址,受害者點一下連結就會洩漏認證 token。攻擊者拿到 token 後可以直接 WebSocket 連到受害者的本地 Gateway,關掉 sandbox、關掉 exec approval,然後執行任意指令。
CVE-2026-32922(CVSS 9.9): 2026 年 3 月揭露的 safeBins bypass 漏洞,允許權限提升到管理員等級。
CVE-2026-24763 和 CVE-2026-25157: 兩個命令注入漏洞,一週內接連公布。
ClawHavoc 攻擊行動: Koi Security 研究員 Oren Yomtov 稽核了 ClawHub 當時全部 2,857 個 Skills,發現 341 個惡意套件,其中 335 個來自同一個協調行動。這些 Skill 偽裝成高需求工具(像 solana-wallet-tracker、youtube-summarize-pro),實際上散佈 Atomic Stealer(AMOS)macOS 資訊竊取器。到 2026 年 2 月中,惡意 Skills 數量已超過 824 個,Bitdefender 獨立分析估計約佔整個生態系的 20%。
曝露數據: SecurityScorecard 掃描發現 135,000 個 OpenClaw 實例直接曝露在公開網路上,其中 12,812 個可被遠端程式碼執行攻擊。Bitsight 在 2026 年 1 月 27 日到 2 月 8 日之間觀察到超過 30,000 個曝露實例。
| 安全事件 | 數據 | 時間 |
|---|---|---|
| CVE-2026-25253(一鍵 RCE) | CVSS 8.8,影響所有 v2026.1.29 前版本 | 2026 年 1 月 24 日揭露 |
| ClawHavoc 惡意 Skills | 1,184+ 個確認惡意(Antiy CERT) | 2026 年 2 月持續擴大 |
| 曝露實例數 | 135,000 個,12,812 個可直接 RCE | 2026 年 2 月 |
| CVE 和 GHSA 總數 | 累計 60+ 個 CVE、60+ 個 GHSA | 截至 2026 年 3 月 |
| 惡意 Skills 佔比 | 約 12-20%(依統計來源而異) | 2026 年 Q1 |
NemoClaw:NVIDIA 的企業安全方案
NVIDIA 在 2026 年 3 月 16 日 GTC 大會上發表了 NemoClaw,定位是 OpenClaw 的安全基礎設施層。Jensen Huang 用了一個比喻:「Mac 和 Windows 是個人電腦的作業系統,OpenClaw 是個人 AI 的作業系統。」
NemoClaw 的核心元件是 NVIDIA OpenShell runtime。跟過去的 Agent 安全方案不同,OpenShell 把安全從「行為層」搬到「結構層」——安全控制跑在 Agent 自身 process 之外,即使 Agent 被入侵也無法繞過限制。具體來說:
沙箱隔離: 用 kernel-level isolation 限制檔案系統存取,Agent 只能碰明確允許的路徑。
推論路由: 所有 LLM 推論請求都透過 Privacy Router,可以混合使用本地模型(像 NVIDIA Nemotron)和雲端模型,敏感資料的推論留在本地。
YAML 策略定義: 操作權限用 YAML 檔案宣告,不靠 prompt 層面的「請不要做壞事」。
一鍵部署: nemoclaw install 一個指令完成 OpenShell runtime、Nemotron 模型和安全設定的安裝。
NemoClaw 目前是 early preview 狀態(2026 年 3 月 16 日開始),NVIDIA 明確說還不是 production-ready。它跟 Cisco、CrowdStrike、Google 和 Microsoft Security 合作,讓 OpenShell 相容各家的企業安全工具。硬體方面不限定 NVIDIA GPU,但在 DGX Station 和 DGX Spark 上有最佳化。
需要注意:NemoClaw 改善了容器化和 runtime 隔離,但 Penligent.ai 的分析指出,它沒有解決 IAM(身份存取管理)的根本問題,也沒有改變 Agent 本身的決策邏輯。1Password 的 SCAM benchmark 測試發現,高階模型可以辨識出釣魚內容,但還是會繼續執行危險操作。辨識不等於克制。
自建 Skill 的實務建議
如果你不想依賴 ClawHub 的第三方 Skills,自建 Skill 其實很直接。一個 Skill 就是一個資料夾,裡面至少要有一個 SKILL.md:
---
name: my-custom-skill
description: 我的自訂 Skill 描述
tools:
- bash
- browser
metadata:
openclaw:
requires:
env:
- MY_API_KEY
---
# 指令內容寫在這裡
告訴 Agent 什麼時候觸發、怎麼執行、注意事項等。
幾個實務要點:
- Token 預算要控制好。OpenClaw 載入 Skill 時會消耗 context window,SecureClaw 團隊刻意把 Skill specification 壓到約 1,150 tokens 就是這個原因。
- Skill 的優先順序要搞清楚。你自己 workspace 裡的 Skill 會覆蓋所有同名的 bundled、managed 和 plugin-shipped Skills。
- 安全宣告要誠實。SKILL.md 的 frontmatter 裡宣告 runtime requirements(env vars、binaries、install specs),ClawHub 的安全分析會拿宣告跟實際行為做比對。
- 第三方 Skills 一律視為不可信程式碼。用 sandbox 跑,安裝前讀完 SKILL.md 和所有 script。
OpenClaw Skills 要花錢嗎?
OpenClaw 本身是 MIT 授權的免費開源軟體,ClawHub 上的社群 Skills 也是免費的。但你需要支付 LLM 的 API 費用(Anthropic、OpenAI 等),以及自架伺服器的硬體或 VPS 成本。NemoClaw 的企業版定價尚未公布。
OpenClaw 適合企業使用嗎?
以目前的安全紀錄來看,原版 OpenClaw 不建議在生產環境直接使用。累計超過 60 個 CVE、ClawHub 生態系 12-20% 的惡意套件比例、以及 135,000 個曝露實例的統計數據,說明自架 OpenClaw 需要深厚的安全經驗。如果企業要用,NemoClaw 加上 OpenShell 的沙箱隔離是目前最務實的選擇,但它仍在 early preview 階段。
ClawHub 上的惡意 Skills 怎麼辨識?
ClawHub 在 2026 年初整合了 VirusTotal 掃描,每個 Skill 頁面都有自動安全報告。VoltAgent 的 Awesome OpenClaw Skills 專案也做了人工過濾,從 13,729 個篩選到 5,211 個可信任的。安裝前的基本檢查:看作者是否有 verified badge、讀完 SKILL.md 內容、確認 shell command 權限是否合理、檢查下載量和評論。
NemoClaw 跟 OpenClaw 的關係是什麼?
NemoClaw 不是 OpenClaw 的替代品或競爭者。它是 OpenClaw 的安全基礎設施層——OpenClaw 跑在 NemoClaw 的 OpenShell runtime 裡面。NVIDIA 的 Kari Briski 說得很白:「OpenShell 提供 Agent 運作所需的存取權限,同時強制執行基於策略的安全、網路和隱私護欄。」
Skills 跟 MCP Server 有什麼不同?
Skills 是 OpenClaw 原生的能力模組格式(SKILL.md + YAML frontmatter),專門告訴 Agent「什麼時候做什麼」。MCP(Model Context Protocol)是 Anthropic 推動的通用標準,定義 Agent 跟外部工具的通訊協議。兩者可以共存——你可以寫一個 Skill 來告訴 Agent 怎麼用某個 MCP Server,也可以用 Plugin 直接橋接 MCP。
引用來源
- NVIDIA Newsroom — NVIDIA Announces NemoClaw for the OpenClaw Community
- Conscia — The OpenClaw Security Crisis
- ARMO — CVE-2026-32922: Critical Privilege Escalation in OpenClaw
- SecurityScorecard — OpenClaw Exposed Infrastructure Analysis
- OpenClaw Official Documentation — Skills
- OpenClaw Official Documentation — Plugins
關於作者
我們從 2025 年底開始追蹤 OpenClaw 生態系的發展,主要是因為它的 Skill/Plugin 架構跟我們在 Claude Code 和 Claude Cowork 上用的 Agent Skills 概念高度重疊。在協助客戶評估 AI Agent 導入方案時,我們觀察到一個共同模式:技術團隊對 OpenClaw 的功能興奮不已,但安全團隊看到 CVE 紀錄就踩煞車。NemoClaw 出來之後,對話才開始往前推進。
對於正在評估 AI Agent 平台的企業,我的建議是:先從 sandbox 環境試 Skills 的能力邊界,確認實際場景的 ROI,再決定投入多少資源在安全加固上。如果你需要一套系統性的評估框架,歡迎跟 Tenten 團隊預約諮詢。
