执行步骤
- 技能来源优先级固定:私有技能 > 团队审计技能 > 市场技能。
- 安装前先看权限与命令范围,默认按“不信任”策略处理。
- 高风险技能单独隔离运行并限制系统权限,避免越权执行。
- 技能版本必须锁定并记录变更,异常时能快速回退到上一版。
- 对 Shell、文件写入、浏览器自动化类技能开启审计日志。
- 每次新增技能后跑一次最小回归,不要直接放生产流量。
OpenClaw Skills 安全清单:安装前先做这 6 步
橙皮书里最容易被忽略的一章:技能安全与供应链风险。
适用场景
准备在生产环境长期运行
预计阅读
8 分钟
完成结果
你会得到可执行的安全基线配置
关键命令
openclaw skills list
openclaw skills audit
openclaw config validate常见风险
- 不要在生产环境直接试验未审计技能。
- 不要把高权限密钥明文放到公开仓库或群聊。
高频失败案例
- 变更后不做验收,问题延迟暴露。
- 缺少回滚路径,导致故障持续时间拉长。
完成验收
- 关键权限最小化
- 高风险操作有审计
- 敏感配置可追溯
继续深入
先完成本页验收项,再看同分类文章,把流程串成完整闭环。