2026年OpenClaw(龙虾)全面普及,但ClawHub上已出现超1000个恶意Skill,专门窃取SSH密钥、浏览器密码、加密钱包、API Key,一旦乱装插件,系统随时可能被接管、数据被窃取。对于新手而言,装Skill不是越多越好,而是先装“保命、防坑、安全、稳定”的核心插件。
本文严格按照“先安全、后效率、先底层、后功能”的原则,整理出6个必装保命Skill,并完整提供:
- Windows11/MacOS/Linux本地一键部署
- 2026阿里云服务器稳定部署流程
- 阿里云百炼Coding Plan免费大模型API配置
- Skill安装、检测、更新、维护全套命令
- 飞书接入与日常使用最佳实践
- 高频报错与安全风险一站式解决
所有命令可直接复制运行,全程免费、零基础可学。阿里云上OpenClaw极速一键部署最简单,步骤详情 访问阿里云OpenClaw一键部署专题页面 了解。
一、OpenClaw 安全前提:为什么不能乱装Skill
从2026年3月开始,安全平台已连续发布预警:
- ClawHub存在大量恶意Skill,可远程执行代码
- 部分插件会静默读取敏感目录(~/.ssh、~/.aws、密钥文件)
- 提示词注入、权限滥用、数据外发频发
- 过度安装插件会导致系统冲突、AI崩溃、运行卡顿
正确的顺序永远是:
- 部署环境
- 安装安全审查Skill
- 安装基础效率Skill
- 接入日常使用入口(飞书等)
- 定期更新与体检
二、2026全平台OpenClaw完整部署(本地+阿里云)
(一)环境依赖(必须安装)
- Node.js ≥ 22
- Git
- Python ≥ 3.10
- Docker(可选,增强沙箱安全)
(二)Windows11 部署(管理员PowerShell)
winget install OpenJS.NodeJS
winget install Git.Git
winget install Python.Python.3.11
iwr -useb https://openclaw.ai/install.ps1 | iex
npm config set registry https://registry.npmmirror.com
openclaw --version
openclaw onboard --install-daemon
openclaw gateway start
openclaw dashboard
(三)MacOS 部署
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
brew install node@22 git python3
curl -fsSL https://openclaw.ai/install.sh | bash
openclaw init --sandbox enable --workdir ~/.openclaw
openclaw gateway start
(四)Linux 部署
curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash -
sudo apt install -y nodejs git python3 docker.io
sudo systemctl start docker
curl -fsSL https://openclaw.ai/install.sh | bash
openclaw init --sandbox enable
openclaw gateway start
(五)阿里云服务器部署(2026稳定版)
阿里云用户零基础部署 OpenClaw 喂饭级步骤流程
第一步:打开访问阿里云OpenClaw一键部署专题页面,找到并点击【一键购买并部署】。
第二步:打开选购阿里云轻量应用服务器,配置参考如下:
- 镜像:OpenClaw(Moltbot)镜像(已经购买服务器的用户可以重置系统重新选择镜像)
- 实例:内存必须2GiB及以上。
- 地域:默认美国(弗吉尼亚),目前中国内地域(除香港)的轻量应用服务器,联网搜索功能受限。
- 时长:根据自己的需求及预算选择。
第三步:打开访问阿里云百炼大模型控制台,找到密钥管理,单击创建API-Key。
前往轻量应用服务器控制台,找到安装好OpenClaw的实例,进入「应用详情」放行18789端口、配置百炼API-Key、执行命令,生成访问OpenClaw的Token。
- 端口放通:需要放通对应端口的防火墙,单击一键放通即可。
- 配置百炼API-Key,单击一键配置,输入百炼的API-Key。单击执行命令,写入API-Key。
- 配置OpenClaw:单击执行命令,生成访问OpenClaw的Token。
- 访问控制页面:单击打开网站页面可进入OpenClaw对话页面。
sudo apt update && sudo apt upgrade -y
sudo apt install nodejs npm git python3 docker.io -y
sudo systemctl start docker
sudo systemctl enable docker
usermod -aG docker $USER
newgrp docker
npm install -g openclaw@latest
openclaw init --mode cloud --port 18789 --sandbox enable
openclaw config set gateway.bind 0.0.0.0
openclaw config set gateway.allowIps 127.0.0.1
openclaw gateway start
openclaw config set gateway.autoStart true
开放安全组端口:18789
三、阿里云百炼Coding Plan API免费模型配置
1. 获取API Key
访问登录阿里云百炼大模型服务平台
开通Coding Plan → 生成API Key
阿里云百炼Coding Plan API-Key 获取、配置保姆级教程:
创建API-Key,推荐访问订阅阿里云百炼Coding Plan,阿里云百炼Coding Plan每天两场抢购活动,从按tokens计费升级为按次收费,可以进一步节省费用!
- 购买后,在控制台生成API Key。注:这里复制并保存好你的API Key,后面要用。
- 回到轻量应用服务器-控制台,单击服务器卡片中的实例 ID,进入服务器概览页。
- 在服务器概览页面单击应用详情页签,进入服务器详情页面。
- 端口放通在OpenClaw使用步骤区域中,单击端口放通下的执行命令,可开放获取OpenClaw 服务运行端口的防火墙。
- 这里系统会列出我们第一步中创建的阿里云百炼 Coding Plan的API Key,直接选择就可以。
- 获取访问地址单击访问 Web UI 面板下的执行命令,获取 OpenClaw WebUI 的地址。
2. 写入配置文件
编辑 ~/.openclaw/openclaw.json
{
"models": {
"mode": "merge",
"providers": {
"bailian": {
"baseUrl": "https://coding.dashscope.aliyuncs.com/v1",
"apiKey": "你的APIKey",
"api": "openai-completions",
"models": [
{
"id": "qwen3.5-plus",
"name": "通义千问3.5 Plus",
"contextWindow": 1000000,
"maxTokens": 65536
}
]
}
}
},
"agents": {
"defaults": {
"model": {
"primary": "bailian/qwen3.5-plus"
}
}
}
}
3. 重启生效
openclaw gateway restart
4. 测试调用
openclaw chat --prompt "测试阿里云百炼模型是否正常"
四、OpenClaw 6大必装保命Skill(按顺序安装)
1. Skill Vetter(安全审查,第1个必装)
作用:安装任何Skill前自动审查风险,检查权限、外联、可疑代码、危险行为。
审查范围:未知域名请求、读取密钥目录、执行高危命令、代码混淆、提权操作。
openclaw plugin install skill-vetter
openclaw plugin enable skill-vetter
使用命令
openclaw vet 技能名
2. Find Skills(智能找技能,防装错)
作用:根据你的需求,自动推荐最合适的官方可信Skill,避免乱装恶意插件。
openclaw plugin install find-skills
自然语言使用
帮我找一个能总结网页的技能
有没有可以自动抓取页面的插件?
3. Agent Browser(浏览器自动化,刚需效率)
作用:让AI打开网页、点击、输入、抓取内容、截图、登录、提取数据。
适用:公众号、知乎、商品页、数据页面、新闻页内容抓取。
openclaw plugin install agent-browser
使用指令
打开这个页面并提取内容:https://xxx
帮我截图这个页面
4. Summarize(万能总结,必装)
作用:总结URL、PDF、图片、音频、视频、长文档,输出精简结构化内容。
openclaw plugin install summarize
使用指令
帮我总结这个链接
总结这份PDF的重点
5. Multi Search Engine(多源搜索,防幻觉)
作用:同时调用17个搜索引擎(国内+国际),信息更全面、更准确、拒绝一本正经胡说八道。
openclaw plugin install multi-search-engine
使用指令
搜索2026年AI行业趋势
搜索GitHub上的OpenClaw项目
6. 飞书集成插件(国内最佳入口)
作用:把OpenClaw接入日常办公平台,消息、文档、表格、日程全打通。
npx -y @larksuite/openclaw-lark-tools install
使用指令
帮我在飞书创建一篇文档
把今天的新闻总结发到飞书群
五、Skill 安装与维护必备命令(救命级)
查看已安装插件
openclaw plugin list
批量更新所有插件
clawhub update --all
OpenClaw系统体检
openclaw doctor
安全扫描全部插件
openclaw vet --all
卸载风险插件
openclaw plugin uninstall 技能名
六、安全使用规范(永不中毒、不泄密)
- 安装任何Skill前必须用Skill Vetter扫描
- 不安装来源不明、低星、无安全报告的插件
- 开启沙箱隔离
openclaw config set sandbox true - 禁止AI访问敏感目录
- 每周执行一次更新与体检
- 优先使用飞书等正规入口,不暴露公网端口
- API Key使用环境变量,不硬编码
七、阿里云百炼API常见问题
1. 401 invalid api-key
- API Key错误
- 未开通Coding Plan
- 密钥权限不足
2. 404 not found
正确地址:
https://coding.dashscope.aliyuncs.com/v1
3. 模型不存在
模型ID:qwen3.5-plus
4. 云端服务器无法调用
- 未放行443出口
- DNS异常
- 系统时间不同步
八、OpenClaw 部署与Skill高频报错解决
1. 插件安装失败
npm install -g openclaw@latest
openclaw gateway restart
2. 无法访问18789面板
openclaw gateway restart
openclaw config set gateway.bind 0.0.0.0
3. AI运行卡顿、冲突
- 插件过多
- 执行
openclaw doctor修复 - 禁用不常用插件
4. 搜索/浏览器功能异常
openclaw plugin enable multi-search-engine
openclaw plugin enable agent-browser
openclaw gateway restart
九、总结:2026最稳养虾路线(新手照做即可)
- 部署Windows/Mac/Linux/阿里云环境
- 配置阿里云百炼免费大模型
- 第1个装:Skill Vetter(安全审查)
- 第2个装:Find Skills(精准找插件)
- 再装:Agent Browser、Summarize、Multi Search Engine
- 最后接入飞书,实现日常办公联动
- 定期更新、体检、安全扫描
OpenClaw的核心不是“装得多”,而是“用得稳、用得安全、用得长久”。
只要按本文顺序操作,你就能拥有一个不中毒、不泄密、不乱来、高效率的私人AI智能体。
