距我们的首次扫描仅一周,ClawHub 生态已发生显著变化。
Top 50 总下载量从 125 万飙升至 350 万以上,#1 Skill 达到 31.1 万次下载。但在增长的同时,新的安全模式浮出水面。
核心发现:首次在 Top 50 中检测到 CRITICAL 级安全模式。 2 个 Skill 获得 D 级评分,2 个 Top 10 Skill 已被下架,三分之一的 Top 50 被标记为”可疑”。
评级分布
| 评级 | 数量 | 占比 | 变化 |
|---|---|---|---|
| A | 39 | 78% | ↓ 从 88% 下降 |
| B | 4 | 8% | 持平 |
| C | 3 | 6% | ↑ 从 4% 上升 |
| D | 2 | 4% | 首次出现 |
| 已下架 | 2 | 4% | 首次出现 |
A 级占比下降了 10 个百分点。两个 Skill 首次获得 D 级——均为”自进化”类工具,会执行系统命令并修改代码。
一周内的变化
CRITICAL 发现首次出现
上次扫描未发现任何 CRITICAL 模式。本次发现:
- 1 次
eval()调用(S-01)——扫描器中最危险的模式 - 115 次系统命令执行(S-02)——
child_process、exec、spawn - 全部集中在 2 个”自进化引擎”Skill 中,它们会启动子进程、运行 git 命令并重写自身代码
这些发现与 Skill 的声明用途一致——但安全暴露面极大:25,000 多行代码中共 844 个发现。
头部 Skill 正在消失
下载量 #1(31.1 万次)和 #3(17.1 万次)的 Skill 已从 ClawHub 下载 API 中移除,均被标记为”可疑”。当生态中最受欢迎的工具被下架,这是一个值得重视的信号。
三分之一的 Top 50 被标记为”可疑”
topclawhubskills.com 现在显示基于 OpenClaw 行为分析的可疑/正常标签。50 个 Skill 中有 17 个(34%) 被标记为可疑。
值得注意的是,一个 D 级 Skill 被标记为正常(尽管代码中有 eval()),而一些 A 级 Skill 却被标记为可疑。两种信任维度衡量的是不同的事物,单独一个都无法讲述完整故事。
多数 Skill 仍为纯提示词
| 类别 | 数量 | 占比 |
|---|---|---|
| 含代码文件 | 18 | 37% |
| 纯提示词(仅 SKILL.md) | 30 | 63% |
与上周相似(34/66)。大多数热门 Skill 不包含可执行代码——仅有 AI 代理指令。它们不受代码层攻击影响,但提示词注入和声明验证是另外的问题。
风险模式频率
| 规则 | 命中次数 | 严重等级 | 说明 |
|---|---|---|---|
| S-05 | 405 | HIGH | 环境变量访问 |
| S-07 | 325 | MEDIUM | 文件系统操作 |
| S-02 | 115 | CRITICAL | 系统命令执行 |
| S-04 | 43 | HIGH | 外部 HTTP 通信 |
| S-01 | 1 | CRITICAL | 动态代码执行(eval) |
环境变量访问(S-05)超过文件 I/O(S-07)成为最常见模式。116 次 CRITICAL 命中全部来自 2 个 D 级 Skill。
有发现的 Skill
| Skill | 评级 | 发现数 | 下载量 | 状态 |
|---|---|---|---|---|
| self-improving-agent | 已下架 | — | 31.1 万 | 可疑 |
| agent-browser | 已下架 | — | 17.1 万 | 可疑 |
| nano-banana-pro | B | 1 | 6.8 万 | 正常 |
| openclaw-tavily-search | B | 1 | 5.8 万 | 可疑 |
| polymarket-trade | C | 19 | 4.8 万 | 可疑 |
| brave-search | C | 3 | 4.1 万 | 可疑 |
| elite-longterm-memory | B | 8 | 3.9 万 | 可疑 |
| stock-analysis | C | 6 | 3.8 万 | 可疑 |
| evolver | D | 653 | 3.8 万 | 可疑 |
| feishu-evolver-wrapper | D | 191 | 3.3 万 | 正常 |
| imap-smtp-email | B | 7 | 3.0 万 | 正常 |
作者集中度
一位作者(@steipete)维护了 Top 50 中的 18 个——全部为 A 或 B 级。这既是质量信号(一致的安全标准),也是结构性风险(36% 的热门工具依赖于一个维护者)。
这意味着什么
三点关键洞察:
-
安全核心在缩小。 A 级从 88% 降至 78%。首次 CRITICAL 发现和下架事件标志着生态进入新阶段——头部不再均匀安全。
-
信任需要多层叠加。 V(g) 捕捉代码模式,OpenClaw 扫描器捕捉行为不一致,VirusTotal 捕捉已知恶意软件。每一层都会遗漏其他层能发现的问题。一个 Skill 可以同时是 V(g) D 级和 OpenClaw 正常——也可以是 A 级但可疑。
-
增长放大风险。 一周内下载量增长近 3 倍意味着更多用户暴露在质量未知的 Skill 面前。31.1 万次下载的 #1 Skill 被事后下架意味着数十万次安装发生在问题被发现之前。
V(g) 是信任的一层。生态需要所有层协同工作。
试一试
用一条命令扫描任何 Skill 或 Gene:
npx @rotifer/playground vg <path>为你的仓库添加徽章:rotifer.ai/badge
扫描器文档:rotifer.dev/docs/cli/vg
报告由 Rotifer Protocol 发布。数据、方法论和扫描器均为开源。