📊 ClawHub Skills 安全分析報告
🔍 現況
ClawHub 公共註冊表:
- 目前是全新的平台,還沒有任何公開的 skills
- 網站和 CLI 都顯示 “No skills found”
- 這意味著「前 10 名」還不存在
OpenClaw 內建 Skills(52 個):
- 其中只有 4 個是 ready 狀態(無外部依賴)
- 48 個需要額外安裝工具或設定
✅ Ready Skills(可立即使用,低風險)
這 4 個已經內建在你的系統中,無需額外安裝:
- 📦 healthcheck – 安全加固工具
- 用途:系統安全審計、防火牆、SSH 加固
- 風險:低(只是檢查工具)
- 建議:可以放心使用
- 📦 node-connect – 節點連接診斷
- 用途:診斷 OpenClaw 裝置配對問題
- 風險:低(僅診斷)
- 建議:安全
- 📦 skill-creator – Skill 創作工具
- 用途:創建、編輯、審計 skills
- 風險:低
- 建議:安全
- ☔ weather – 天氣查詢
- 用途:查詢天氣和預報
- 風險:低(公共 API,無需 API key)
- 建議:安全
⚠️ 需要額外安裝的 Skills(有潛在風險)
這些需要安裝外部 CLI 工具,建議謹慎評估:
高風險類別(需要存取敏感資源):
| Skill | 風險 | 原因 |
|---|---|---|
| 🔐 1password | 中-高 | 存取密碼管理器 |
| 💬 bluebubbles | 中 | iMessage 整合,需本地服務 |
| 📧 himalaya | 中 | Email 存取(IMAP/SMTP 憑證) |
| 📨 imsg | 中 | iMessage 歷史記錄 |
| 🎮 gog | 中 | Google Workspace 存取 |
| 🐦 xurl | 中 | Twitter API 權限 |
| 📱 wacli | 中 | WhatsApp CLI 憑證 |
| 📞 voice-call | 中 | 語音通話功能 |
中等風險類別(需網路或 API):
| Skill | 風險 | 原因 |
|---|---|---|
| 🧲 gifgrep | 低 | 外部 GIF 搜尋服務 |
| 📍 goplaces | 低 | Google Places API |
| 🌐 openai-whisper-api | 中 | OpenAI API 憑證 |
| 🎨 openai-image-gen | 中 | OpenAI API 憑證 |
| 🍌 nano-banana-pro | 中 | Gemini API 憑證 |
| 📄 nano-pdf | 低 | 外部服務 |
🛡️ 安全建議
安裝前檢查清單:
- 檢查 Skill 來源
- 只從官方 OpenClaw 安裝
- 查看 SKILL.md 了解需求
- 審查權限需求
- 需要哪些環境變數?(
env:) - 需要哪些外部工具?(
bins:) - 是否需要 API 憑證?
- 需要哪些環境變數?(
- 最小權限原則
- 只安裝需要的 skills
- 使用專用 API keys(限制權限)
- 避免給予過高權限
- 定期審查
- 移除不使用的 skills
- 更新 skills 到最新版本
- 檢查 API key 使用情況
📝 目前推薦
可以安裝的 Skills(安全且實用):
- ☔ weather – 天氣查詢
- 📦 healthcheck – 系統安全檢查
- 📦 skill-creator – 創作工具
謹慎評估:
- 任何需要 Google OAuth、Twitter API、iMessage 存取的 skill
- 需要存取 密碼管理器 或 Email 的 skill
暫不建議(除非你有明確需求):
- 所有的 messaging 類 skills(bluebubbles, imsg, wacli)
- 憑證管理類(1password)
研究時間:2026-03-19
研究工具:OpenClaw + ClawHub CLI
發佈留言