今天是元宵节，首先祝大家节日快乐。然后说一个坏消息，23万只云端OpenClaw小龙虾，因为“裸奔”的事情被曝光了。

有些人在云端部署的OpenClaw，比如使用各大厂商的，像什么阿里、百度、腾讯的一键部署服务。

龙虾是部署好了，但是因为安全意识薄弱，默认开启了公网可访问的端口，也就是龙虾控制面板的默认端口18789。

结果部署在云端服务器的小龙虾本身就有公网IP，公网IP+端口就可以直接使用浏览器访问了。

这不，有人就扫描了全网，目前已经抓到了23万只正在“裸奔”的小龙虾，还做了个曝光网站，一一列了出来，如图：

围观网址：
https://openclaw.allegro.earth，不过网站没有提供搜索功能，也无法让你去搜搜看，自己的小龙虾在不在曝光列表中。

这里面当然不只是在各大云厂商上部署的小龙虾，也有部分是自己购买服务器搭建，无论如何，请记得修改默认端口号，或者使用Nginx反代。

当然，直接访问这些曝光的地址，可以打开，但没法进行控制，因为都缺少设备标识和token令牌。

相对来说部署在本地的小龙虾在公网上“裸奔”的概率就低一些，除非你本地路由器映射开放了端口并且有公网IP，或者使用内网穿透。

所以本地养虾户对以上问题不必过于担心，需要担心的是你在养虾过程中，安装的那些Skill技能或者插件，是否来路不明，或者暗藏“杀机”。

首先我们可以打开OpenClaw的官方应用商店Clawhub，网址：https://clawhub.ai/skills?sort=downloads，如图：

可以看到目前商店上已经有13989个Skill技能，这里面大概有12%的Skill存在恶意行为。虽然Clawhub官方怒删过一批，但审核依旧过于拉垮。

目前潜伏在里面的恶意Skill还是存在的，更何况有些Skill的发布者会去刷下载量，像刚上线几天就几百个下载量的，一定要留意。

小白不能光看下载量，就觉得这个Skill肯定好，最好是选择那种发布三四个月以上的，下载量也就一两百左右的Skill。

因为恶意的Skill不光有可能给你的电脑下载一些挖矿的脚本，更有可能偷走你的大模型API接口密钥，然后玩命地透支烧光你的token余额。

不过，由于Clawhub官网是英文的，相信很多小白也懒得去搜索下载，而是在小龙虾直接装好Clawhub商店，让小龙虾自己去搜索。

这种方式老马之前的文章也介绍过了，可以回看：安装好这3个技能，你的OpenClaw才能正常使用。

既然通过Clawhub上下载Skill，没法百分百保证技能存不存在安全风险，那有没有一种技能，是可以扫描检查Skill是否有安全隐患的呢？

答案是有的，这就是老马今天要介绍的“Skill Vetter”，其它的Skill你可以少装，这个强烈推荐安装，对小白尤其友好。

接下来老马实际演示一下，前提是你已经安装并且正常使用Openclaw小龙虾，而且也安装了Clawhub商店。

安装使用方法都是通用的，其它的变种或者套壳OpenClaw小龙虾同样适用。比如有道龙虾，OneClaw等。

安装使用Skill Vetter

安装方式很简单，就发送一句话给你的小龙虾，让它安装Skill Vetter技能，如图：

有时候会提示Clawhub商店限制速率，这时你就稍微等待个几分钟，再让小龙虾重新去尝试安装。

如果提示找不到该技能，那就你回看上文老马提到的那篇文章，里面有介绍怎么安装Clawhub商店和find-skills检索技能的方法。

当然，如果你本地能够访问github，Clawhub限制速率，或者找不到技能的情况下，你可以让小龙虾去github上帮你找到Skill Vetter进行安装，如图：

如果你本地的宽带网络无法访问github，你就试试用手机浏览器，手机流量（关掉wifi）去访问一下github.com。

能访问的话，你的手机开启热点，共享给你的电脑使用，这样你的电脑也能访问github了，前提你是笔记本电脑自带无线网卡，台式机则需要另配无线网卡。

这也算是切换网络访问github的小技巧。当你的Skill Vetter技能安装完毕后，就可以开启一次安全扫描检查，看看之前已经安装过的Skill技能中，有哪些是存在安全隐患的，是恶意的，如图：

Skill Vetter扫描完毕之后，会给你一份详细的报告，里面涉及到代码审查、权限需求、风险等级，以及最终结论，一目了然很清晰，如图：

从低、中、高、极端四个维度进行总结评分，分别对应绿色、黄色、红色、红色—的符号，让你轻松找出恶意Skill，再一句话让小龙虾卸载清除掉，告别小龙虾被偷家的问题。

最后还是那句话，养虾有风险，切记关好门，不要盲目相信网上AI生成的各种垃圾文章内容，所谓的干货神技能推荐，很有可能，那就是小偷埋下的地雷。

好了，以上就是今天的分享，欢迎关注、点赞、转发一键三连。有任何问题和需求，请在评论区留言，回见！

对了，老马最近刚创建了一个AI学习交流群，有兴趣进群的小伙伴可以添加老马微信号：immajiabin，添加好友时备注：进群（不备注不通过）。