陜西
大家好,我是微笑哥。
在上一篇文章中,給大家講了三個(gè)安全事故。
其中最重要的一塊,就是Skill投毒,除了官網(wǎng)默認(rèn)的 Skills,其他三方的 Skills 都有可能存在風(fēng)險(xiǎn)。
稍微解釋一下,什么是 Skills 投毒
就是有人把帶有惡意指令或后門邏輯的 Skill 插件混進(jìn) OpenClaw 的技能庫(kù)里,一旦被安裝或調(diào)用,AI Agent 在執(zhí)行任務(wù)時(shí)就可能被誘導(dǎo)泄露數(shù)據(jù)、執(zhí)行異常操作甚至被遠(yuǎn)程控制。
有什么預(yù)防 OpenClaw Skills 投毒 的 Skill 嗎?
你還別說,還真有。
這個(gè) Skill 叫做 Skill Vetter。
那什么又是Skill Vetter 呢?一句話解釋:
Skill Vetter 是一個(gè)在安裝任何 OpenClaw Skill 之前,對(duì)代碼來源、權(quán)限和惡意行為進(jìn)行安全審查并生成風(fēng)險(xiǎn)報(bào)告的安全工具。
再簡(jiǎn)單一點(diǎn)理解:
它會(huì)在你安裝 Skill 之前幫你檢查幾件事:
1??來源是否可信
檢查作者、倉(cāng)庫(kù)、下載量、更新時(shí)間等。
2??代碼是否有惡意行為
例如:
訪問~/.ssh、~/.aws等敏感文件
向外部服務(wù)器發(fā)送數(shù)據(jù)
Base64 混淆代碼
eval()/exec()動(dòng)態(tài)執(zhí)行代碼
這些都會(huì)被標(biāo)記為紅旗。
3??權(quán)限范圍是否異常
它會(huì)分析這個(gè) Skill 是否申請(qǐng)了:
文件系統(tǒng)訪問
網(wǎng)絡(luò)請(qǐng)求
shell 命令執(zhí)行
然后給出LOW / MEDIUM / HIGH / EXTREME 風(fēng)險(xiǎn)評(píng)級(jí)。
4??生成安全審查報(bào)告
最后輸出一個(gè)結(jié)構(gòu)化報(bào)告,告訴你:
是否建議安裝
哪些地方有風(fēng)險(xiǎn)
很多人把Skill Vetter當(dāng)成第一道防線。
那怎么安裝呢?
在 OpenClaw 終端里運(yùn)行:
clawhubinstall skill-vetter
安裝成功怎么驗(yàn)證,終端運(yùn)行:
skill-vetter
如果看到“skill-vetter”說明已經(jīng)安裝成功。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
