Skills是OpenClaw的超能力

如果把OpenClaw比作一部手机，Skills就是App Store里的应用。

没有Skills，OpenClaw只有4个基本工具（Read、Write、Edit、Bash）。装上Skills，它可以发邮件、管日历、操作浏览器、搜索网页、生成图片、审查代码。

截至2026年3月8日，ClawHub上注册了13,729个Skills。但这个数字需要打个折扣——后面会讲为什么。

Skills是怎么工作的

OpenClaw按三级优先级加载Skills：

同名Skill高优先级覆盖低优先级。你可以在项目级"重写"一个内置Skill的行为，不影响其他项目。

加载过程：1. 扫描三级目录，读取每个Skill的SKILL.md2. 注入环境变量（如GITHUB_TOKEN），缺少必要变量的Skill被静默跳过 3. 将所有可用Skill的描述注入system prompt——这是模型"知道自己能干什么"的关键步骤 4. Skill执行完毕后恢复原始环境，防止互相干扰

必装TOP 10

实用建议：不要一次装太多。每个Skill都会增加system prompt长度，消耗上下文窗口。建议从TOP 10中选3-5个开始，逐步扩展。

55个内置Skills一览

OpenClaw出厂自带55个Skills，覆盖六大类：

• 通讯社交
  
  ：Discord、Slack、iMessage、WhatsApp CLI、语音通话
• 笔记知识
  
  ：Obsidian、Notion、Apple Notes、Bear Notes、Trello、Things
• 开发工具
  
  ：Coding Agent、GitHub、gh-issues、tmux
• 媒体处理
  
  ：Spotify、视频帧提取、OpenAI图片生成、GIF
• AI模型
  
  ：Gemini、OpenAI Whisper语音识别、TTS语音合成
• 搜索浏览
  
  ：URL提取、摘要、博客监控、Google搜索
• 系统工具
  
  ：1Password、健康检查、会话日志
• 智能家居
  
  ：Philips Hue灯光控制
• 生态工具
  
  ：ClawHub客户端、Skill创建器、MCP桥接器

内置Skills无需安装，开箱即用。

自建Skill：只需要一个文件

最简单的Skill只需要一个SKILL.md：

my-skill/
└── SKILL.md    # 唯一必须文件

SKILL.md定义了Skill的名称、描述、触发条件、使用指令和所需环境变量。示例：

# 工作日报生成器

## Description
帮助用户进行每日工作总结，生成结构化日报。

## Trigger
当用户提到"日报"、"工作总结"、"今日汇报"时激活。

## Instructions
1. 询问用户今天完成了哪些工作
2. 按项目分类整理
3. 标记每个任务的状态（完成/进行中/阻塞）
4. 生成markdown格式日报
5. 保存到~/reports/YYYY-MM-DD.md

安装方式：- 项目级：放入<workspace>/skills/my-skill/- 全局：放入~/.openclaw/skills/my-skill/

发布到ClawHub：

openclaw clawhub login
openclaw clawhub publish ./my-skill

项目级Skill很适合团队协作——放在Git仓库的skills/目录，团队成员clone后自动获得相同的Agent能力。

13,729的真相：一半是垃圾

现在说那个需要打折扣的数字。

社区项目awesome-openclaw-skills（31.4K Stars）从13,729个Skills中只精选了5,494个。剩下的大部分是垃圾、重复或低质量内容。

更危险的是：800+个被确认为恶意。

ClawHavoc：供应链攻击事件

2026年1月底到2月初，一场名为ClawHavoc的供应链攻击爆发。

攻击手法：1. 上传看起来专业的Skill（名字如"advanced-code-review"、"smart-scheduler"） 2. 用户安装后，Skill建议安装一个"辅助Agent"以增强功能 3. 实际植入了AMOS（Atomic macOS Stealer）信息窃取木马 4.更危险的是：攻击直接篡改SOUL.md和MEMORY.md——你的Agent被"洗脑"，核心行为规则被改写

防范建议：

1. 安装前检查源码
   
   ，看GitHub仓库，警惕需要安装"辅助Agent"的Skill
2. 使用SecureClaw扫描
   
   ：npm install -g secureclaw && secureclaw scan ~/.openclaw/skills/
3. 参考精选列表
   
   而非在ClawHub随意搜索
4. 定期检查SOUL.md和MEMORY.md
   
   ，发现异常内容立即回滚

核心认知：Skills本质上是受信任的代码。一旦安装，它拥有和OpenClaw实例相同的权限——能访问你的邮件、日历、消息和文件系统。没有沙箱隔离，没有权限分级。

下期预告

Skills让Agent有了能力，但模型决定了它有多聪明。

《模型配置指南：从GPT到国产大模型的全面支持》

• 12+模型提供商总览
• 国产模型接入教程
• 五种成本方案推荐
• Failover链配置策略

互动时间

你最想用哪个Skill？

A. Gmail/Google（邮件自动化） B. Agent Browser（浏览器操作） C. Web Search（实时搜索） D. 自建Skill（定制化需求）

评论区聊聊！

关于本系列

这是"OpenClaw从入门到精通"系列的第6篇。

关注【飘雪思考】公众号，不错过系列更新。

相关资源

• GitHub仓库：https://github.com/openclaw/openclaw
• 官方文档：https://docs.openclaw.com
• ClawHub市场：https://clawhub.com
• 完整橙皮书PDF：关注公众号回复"橙皮书"获取

作者：飘雪思考说明：本文在Claude Code辅助下整理编写，内容准确性与时效性仅供参考。

本文字数：约1,750字 | 阅读时间：约6分钟

看完请顺手点个【关注】【赞】【推荐】，每一个赞赏都是肯定，欢迎大家多多支持，愿爱和钱都流向你