1. 企业级 Skill 安全审计 SOP:为什么“跑通就行”在 ClawHub 里是最高危的幻觉
ClawHub 不是本地插件仓库,它是 OpenClaw 的技能中枢——一个被多个 Agent 实时调用、跨环境执行、可能直接触达数据库和生产 API 的动态执行平面。上周我们团队上线了一个用于自动生成接口测试用例的api-test-genSkill,它在本地 PyCharm AI 助手里跑得飞快,生成的 Playwright 脚本语法完美,连pytest都能一键运行。但上线第三天,安全扫描系统突然告警:该 Skill 在非授权子网内触发了 17 次对核心支付网关的OPTIONS探测请求。排查发现,它默认启用了--auto-discover-endpoints参数,而这个参数在开发配置中被硬编码为True,且未做任何网络策略约束。
这不是个例。我在三个不同业务线复盘过类似事件:一个金融分析 Skill 因未隔离 LLM 输出中的 SQL 片段,导致下游数据服务被注入恶意UNION SELECT;一个飞书通知 Skill 在错误处理分支里把完整的stack trace直接发到了公开群;还有一个 UI 自动化 Skill,在 Windows 本地部署时因权限模型误配,获得了SYSTEM级别访问权限,最终被用于执行非预期的schtasks调度。
这些都不是模型能力问题,而是 Skill 生命周期中缺失一套可落地、可审计、可嵌入 CI/CD 的安全检查流程。Open
)
)
