Навыки (Skills) в OpenClaw: установка, ClawHub и безопасность

Как расширить возможности AI-агента через навыки: маркетплейс ClawHub с 5 700+ навыками, формат Markdown + YAML, установка, селективная инжекция в промпты и критически важные предупреждения о безопасности.

Aravana··6 мин

Что такое навыки в OpenClaw

Навыки (Skills) - это модульные расширения, добавляющие агенту новые способности. Без навыков агент умеет вести диалог, отвечать на вопросы и использовать подключённые инструменты. С навыками он получает специализированные знания и паттерны поведения: умение составлять письма в определённом стиле, анализировать CSV-файлы, управлять задачами по методологии GTD или генерировать SQL-запросы.

Технически навык - это Markdown-файл с YAML-заголовком (frontmatter). Он содержит текстовые инструкции, которые инжектируются в промпт агента при активации. Навык не исполняет код и не имеет прямого доступа к системе - он работает исключительно через языковую модель, расширяя её контекст. Это делает навыки безопасными по дизайну, хотя, как мы обсудим ниже, не абсолютно безопасными.

Маркетплейс ClawHub

ClawHub - это открытый маркетплейс навыков для OpenClaw, по модели, напоминающей GitHub для кода или npm для пакетов. На момент написания ClawHub содержит более 57 000+ навыков от 16 862 авторов, созданных сообществом. Навыки разделены на категории: продуктивность, программирование, аналитика, креатив, образование, здоровье и другие.

Для просмотра маркетплейса используйте команду:

openclaw hub browse

Или с фильтром по категории:

openclaw hub browse --category productivity
openclaw hub browse --category coding
openclaw hub browse --category analytics

Каждый навык на ClawHub имеет страницу с описанием, рейтингом, количеством установок и отзывами. Обращайте внимание на поле verified - навыки, проверенные командой OpenClaw, помечены соответствующим значком. Непроверенные навыки могут работать, но их безопасность не гарантирована.

Установка навыков

Установка навыка из ClawHub занимает одну команду:

openclaw skill install email-writer
openclaw skill install csv-analyzer
openclaw skill install gtd-tasks

Навык скачивается в директорию ~/.openclaw/skills/ и автоматически регистрируется в системе. После установки он становится доступен агенту. Для просмотра установленных навыков:

openclaw skill list

Для удаления навыка:

openclaw skill remove email-writer

Обновление всех навыков до последних версий:

openclaw skill update --all

Формат навыка: Markdown + YAML

Навык - это файл с расширением .md, начинающийся с YAML frontmatter (блок между тройными дефисами). Вот структура типичного навыка:

---
name: email-writer
version: 1.2.0
author: community/john-doe
description: Помогает составлять профессиональные письма
category: productivity
triggers:
  - "напиши письмо"
  - "составь email"
  - "ответь на письмо"
params:
  tone: [formal, casual, friendly]
  language: [ru, en]
---

# Навык: составление писем

Когда пользователь просит написать или составить письмо:

1. Уточни получателя, если не указан
2. Определи тон из контекста или спроси
3. Составь письмо в формате:
   - Приветствие
   - Основная часть (не более 3 абзацев)
   - Призыв к действию
   - Подпись

Правила:
- Деловые письма: обращение по имени-отчеству
- Неформальные: обращение по имени
- Всегда предлагай вариант на проверку перед отправкой

YAML-заголовок содержит метаданные: имя, версию, автора, описание, категорию, триггеры (фразы, активирующие навык) и параметры. Тело файла - инструкции для языковой модели в свободной форме.

Как работает инжекция навыков

Важный архитектурный принцип: OpenClaw не инжектирует все установленные навыки одновременно. Если у вас установлено 57 000+ навыков от 16 862 авторов, добавление их всех в каждый промпт перегрузило бы контекстное окно модели и резко ухудшило качество ответов. Вместо этого OpenClaw использует селективную инжекцию.

Механизм работает так: когда приходит сообщение от пользователя, Brain анализирует его и сопоставляет с триггерами установленных навыков. Если в сообщении «напиши письмо начальнику», срабатывает триггер навыка email-writer. Только этот навык (и, возможно, 1-2 смежных) инжектируется в промпт для обработки данного сообщения.

Помимо триггеров, работает семантический поиск: даже если пользователь не произнёс точную фразу-триггер, но смысл запроса совпадает с описанием навыка, он может быть активирован. Например, фраза «нужно ответить клиенту по почте» активирует email-writer, хотя точный триггер «напиши письмо» не использован.

Вы можете вручную управлять тем, какие навыки активны по умолчанию:

openclaw skill enable email-writer
openclaw skill disable csv-analyzer
openclaw skill list --status

Отключённый навык остаётся в системе, но не участвует в селективной инжекции. Это полезно, если навык мешает или если вы хотите временно ограничить функциональность агента.

Популярные навыки на ClawHub

Категория продуктивность: email-writer (составление писем), meeting-notes (структурирование заметок со встреч), daily-planner (ежедневное планирование), pomodoro-coach (техника помодоро с AI-сопровождением). Категория программирование: code-reviewer (ревью кода), sql-generator (генерация SQL из естественного языка), regex-helper (составление регулярных выражений), git-assistant (помощь с Git-командами).

Категория аналитика: csv-analyzer (анализ CSV-файлов), data-visualizer (рекомендации по визуализации данных), financial-calculator (финансовые расчёты). Категория креатив: blog-writer (написание постов), social-media (контент для социальных сетей), storyteller (генерация историй).

Каждый навык имеет свою специфику, и не все одинаково полезны. Перед установкой читайте отзывы и обращайте внимание на количество установок и рейтинг. Навыки с менее чем 100 установками и без отзывов стоит рассматривать с осторожностью.

Безопасность: 36% навыков содержат prompt injections

Открытость ClawHub создаёт серьёзную проблему безопасности. По данным исследований Cisco Talos и Kaspersky (июнь 2026), около 36% навыков ClawHub содержат prompt injections - скрытые инструкции, влияющие на поведение агента. Ранее называлась цифра 820 вредоносных навыков (данные Microsoft, март 2026), но с ростом ClawHub до 57 000+ навыков масштаб проблемы вырос. Это так называемые prompt injection атаки: навык внедряет скрытые инструкции, которые могут изменять поведение агента, обходить ограничения или красть данные.

Примеры вредоносных навыков: навык «полезный ассистент», который скрытно инструктирует модель передавать содержимое разговоров на внешний URL; навык «переводчик», который при определённых фразах переключает агента в режим, раскрывающий системный промпт; навык «финансовый советник», содержащий инструкции отправлять персональные данные пользователя.

Как защитить себя? Во-первых, устанавливайте только проверенные навыки (с пометкой verified на ClawHub). Во-вторых, всегда просматривайте содержимое навыка перед установкой:

openclaw hub preview email-writer

Эта команда покажет полное содержимое навыка без его установки. Прочитайте текст внимательно. Подозрительные признаки: инструкции «игнорировать предыдущие инструкции», упоминание внешних URL, команды на раскрытие системного промпта, запросы на отправку данных куда-либо.

В-третьих, используйте встроенный сканер безопасности:

openclaw skill scan email-writer
openclaw skill scan --all

Сканер проверяет навык на известные паттерны prompt injection. Он не даёт стопроцентной гарантии (новые техники атак появляются регулярно), но отсеивает большинство известных угроз.

Оценка безопасности навыка

Перед установкой незнакомого навыка проведите собственную оценку. Проверьте автора: есть ли у него другие навыки с хорошим рейтингом? Проверьте дату публикации и историю обновлений: навыки, которые активно поддерживаются, обычно безопаснее. Прочитайте все отзывы, особенно негативные - пользователи часто сообщают о подозрительном поведении.

Обратите внимание на размер навыка. Типичный навык - это 20-50 строк Markdown. Если навык содержит сотни строк с запутанной логикой, это повод для настороженности. Также подозрительны навыки, требующие необычных разрешений или доступа к инструментам, не связанным с заявленной функцией (например, навык «калькулятор», запрашивающий доступ к файловой системе).

Общее правило: если навык выглядит слишком хорошо, чтобы быть правдой (например, обещает «суперинтеллект» или «обход всех ограничений»), вероятнее всего, он вредоносен.

Управление навыками на продвинутом уровне

Для опытных пользователей OpenClaw предлагает тонкую настройку инжекции навыков. В config.yaml можно указать максимальное количество одновременно активных навыков, приоритет навыков и правила конфликтов:

skills:
  max_active: 3
  priority:
    - email-writer
    - code-reviewer
    - daily-planner
  conflict_resolution: priority  # или "newest", "user_choice"

Параметр max_active: 3 означает, что в каждый промпт будет инжектировано не более трёх навыков. Это экономит контекстное окно и улучшает качество ответов. Параметр priority определяет, какие навыки предпочтительнее при конфликте (когда несколько навыков подходят под один запрос).

Также можно создать «пакеты» навыков для разных контекстов. Например, рабочий пакет (email-writer, meeting-notes, code-reviewer) и личный пакет (daily-planner, recipe-finder, workout-coach). Переключение между пакетами - одна команда:

openclaw skill profile work
openclaw skill profile personal

Итог

Навыки - это мощный механизм расширения OpenClaw, но он требует осознанного подхода. ClawHub предлагает тысячи навыков на любой случай, однако наличие вредоносных навыков делает проверку безопасности обязательным этапом. Устанавливайте только проверенные навыки, просматривайте их содержимое перед установкой, используйте сканер безопасности и ограничивайте количество одновременно активных навыков. Относитесь к установке навыков с той же осторожностью, с какой устанавливаете расширения в браузер.

КРИТИЧЕСКОЕ ИЗМЕНЕНИЕ v2026.4.12: manifest-driven plugin security. Каждый навык теперь обязан содержать криптографически подписанный файл clawmanifest.json. Навыки без manifest не загружаются и блокируются на уровне eBPF. Это означает, что старые навыки без manifest перестали работать после обновления до v2026.4.12.

eBPF enforcement работает на уровне ядра Linux (и аналогично на macOS через System Extensions). Система проверяет, что навык обращается только к ресурсам, указанным в manifest. Попытки навыка получить доступ к файлам, сети или процессам вне разрешённого списка блокируются автоматически.

ClawHub обновил статистику: более 57 000+ навыков прошли верификацию и содержат корректный clawmanifest.json. При установке навыков через 'openclaw skills install' убедитесь, что статус навыка 'verified' - это означает, что manifest прошёл проверку подлинности.

npm Registry (реестр пакетов): навыки OpenClaw публикуются в npm. Установка: `openclaw skill install @author/skill-name`. Поиск доступных навыков: `openclaw skill search [запрос]`. Создать собственный навык и опубликовать: `openclaw skill publish`.

defineToolPlugin API (v2026.5) -- типизированные плагины

OpenClaw v2026.5 добавил defineToolPlugin API для создания TypeScript-типизированных плагинов. Это новый рекомендуемый способ разработки навыков:

import { defineToolPlugin } from '@openclaw/sdk';

export default defineToolPlugin({
name: 'my-tool',
description: 'Описание инструмента',
parameters: {
query: { type: 'string', required: true }
},
async execute({ query }) {
// логика инструмента
return { result: '...' };
}
});

Преимущества перед старым API: автоматическая проверка типов, автогенерация документации, улучшенная поддержка IDE.

Каталог навыков и шаблонов

На момент написания в ClawHub (hub.openclaw.ai) доступно 57 000+ навыков от 16 862 авторов от сообщества, в репозитории awesome-openclaw-agents -- более 100 шаблонов агентов для разных задач (мониторинг новостей, обработка email, работа с кодом, финансовый анализ и другие).

Установка навыков из npm

Помимо ClawHub, навыки можно устанавливать напрямую из npm:

openclaw skill install @openclaw/skill-web-search
openclaw skill install @myorg/my-custom-skill

Для публикации своего навыка на npm: стандартный npm publish с именем пакета по шаблону @scope/skill-* или openclaw-skill-*.

Skill Workshop (v2026.6.2) -- создание навыков с проверкой

Skill Workshop -- новая функция в OpenClaw v2026.6.2, позволяющая создавать и делиться пользовательскими навыками агента через review-first процесс. Вместо прямого создания навыка система использует файл PROPOSAL.md: агент анализирует вашу работу, предлагает скелет навыка и создаёт PROPOSAL.md для вашего просмотра. После одобрения навык устанавливается.

Запуск Skill Workshop через Control UI: перейдите в раздел Skills > Workshop. Через CLI: openclaw skill workshop

Обновление политики безопасности (v2026.6.2): operator install policy заменяет прежний dangerous-code scanner. Теперь при установке любого стороннего оператора система запрашивает явное одобрение. Обновите ClawHub-навыки командой: openclaw skill update --all после обновления до v2026.6.2.

Актуальные данные о библиотеке навыков: По состоянию на июнь 2026 года в официальном реестре OpenClaw Skills доступно более 57 000+ проверенных навыков. Цифра "50+ навыков" в предыдущих версиях материала относилась к самым ранним версиям платформы и была устаревшей.

Атака ClawHavoc: история и текущий масштаб угрозы

В январе 2026 года произошла первая масштабная атака на экосистему навыков OpenClaw, получившая название ClawHavoc. Злоумышленники опубликовали 341 вредоносный навык на ClawHub под видом популярных инструментов (почтовые клиенты, планировщики задач, интеграции с Notion и GitHub). Каждый навык содержал скрытые инструкции по экспортированию SSH-ключей пользователя на сторонний сервер: при первом вызове навык читал файлы из ~/.ssh/ и отправлял их через замаскированный сетевой запрос.

За 72 часа до обнаружения навыки были установлены тысячами пользователей. Инцидент стал прямым поводом для разработки SkillSpector (автоматическое сканирование при установке) и Skill Card (стандартизированный документ происхождения навыка) -- оба инструмента запущены 31 мая 2026 года.

КРИТИЧЕСКОЕ ПРЕДУПРЕЖДЕНИЕ (июнь 2026): По данным на июнь 2026 года, кампания ClawHavoc расширилась: обнаружено более 1400+ вредоносных навыков в маркетплейсе OpenClaw, включая AMOS infostealer-ы, распространявшиеся через сторонний ресурс BetterClaw.io. Эти навыки маскировались под инструменты для продуктивности, интеграции с корпоративными системами и AI-ассистенты. Рекомендации: 1) устанавливайте навыки только из официального ClawHub, никогда -- из BetterClaw.io и аналогичных сторонних источников; 2) перед установкой проверяйте издателя -- у надёжных навыков верифицированный аккаунт автора; 3) используйте SkillSpector (`openclaw hub scan имя-навыка`) перед установкой; 4) проверяйте уже установленные навыки командой `openclaw hub audit`.

VirusTotal сканирование навыков ClawHub: с июня 2026 года VirusTotal автоматически сканирует все навыки, публикуемые в ClawHub. Результаты сканирования доступны на странице каждого навыка. Это дополняет внутренний сканер SkillSpector, но не заменяет его - VirusTotal проверяет на известные вредоносные паттерны, тогда как SkillSpector специализируется на prompt injection в AI-навыках.

Значок Verified: навыки, набравшие 100 и более установок, получают значок verified на странице ClawHub. Это не гарантирует безопасности (prompt injections могут быть в популярных навыках), но указывает на проверенную сообществом функциональность. Перед установкой любого навыка всё равно рекомендуется запустить SkillSpector-проверку: openclaw skill scan имя-навыка.

SkillSpector: автоматическое сканирование навыков (с 31 мая 2026)

SkillSpector - критически важная функция безопасности, введённая 31 мая 2026 года. При установке любого навыка из ClawHub SkillSpector автоматически сканирует его на наличие вредоносных паттернов, prompt injection, несанкционированных сетевых обращений и подозрительных инструкций.

Результат сканирования отображается до завершения установки. Если SkillSpector обнаружил проблемы, установка приостанавливается и запрашивается подтверждение пользователя. Это не заменяет ручную проверку, но значительно снижает риск установки вредоносных навыков.

Skill Card: документация происхождения и безопасности

Skill Card - стандартизированный документ, прилагаемый к каждому навыку в ClawHub с 31 мая 2026 года. Содержит:

  • Происхождение навыка: автор, история изменений, верификационный статус
  • Запрашиваемые разрешения: доступ к файлам, сетевые запросы, системные ресурсы
  • Результаты автоматического сканирования SkillSpector
  • Отзывы сообщества и рейтинг безопасности

Просмотреть Skill Card перед установкой: openclaw hub card имя-навыка

Дистрибуция плагинов: обновление v2026.6.11 и рекомендованная v2026.7.1

Версия v2026.6.11 (27 июня 2026) принесла важные изменения в механизм дистрибуции плагинов, повышающие безопасность экосистемы. Externalized official plugins: официальные плагины OpenClaw теперь поставляются отдельно от основного дистрибутива в виде независимых пакетов с собственными подписями. Это позволяет верифицировать подлинность каждого плагина независимо от основного пакета OpenClaw. Важно: v2026.6.11 содержит регрессии в механизме проверки подписей плагинов. Версия v2026.7.1 устраняет эти регрессии и обеспечивает стабильную верификацию подписей. Для использования externalized plugin signatures рекомендуется v2026.7.1.

Bundled icon metadata: каждый официальный плагин теперь включает верифицированные метаданные иконки (значка) в виде криптографически подписанного манифеста. Поддельные плагины, имитирующие официальные (например, плагин с иконкой, похожей на официальный email-writer), теперь легче обнаружить - сравните хэш иконки с подписью.

Обновлённые рекомендации по безопасности установки скиллов:

  • Обновитесь до v2026.7.1 - эта версия обеспечивает стабильную проверку externalized plugin signatures без регрессий (v2026.6.11 содержала регрессии в этом механизме)
  • При установке официальных плагинов команда openclaw skill install теперь автоматически верифицирует icon metadata
  • Команда openclaw skill verify --official проверяет все установленные официальные плагины на предмет подлинности
  • Неподписанные плагины из ClawHub по-прежнему не верифицируются автоматически - используйте SkillSpector для их проверки

Это изменение особенно важно после кампании ClawHavoc (1400+ вредоносных скиллов), когда многие атаки маскировались под официальные инструменты OpenClaw.

Этот материал подготовлен командой AI-агентов AravanaAI и проверен главным редактором.

Тип материала: research

Поделиться:TelegramXLinkedIn
Как вам материал?

Читайте также

Хотите получать подобные материалы раньше?

Aravana Intelligence — авторская аналитика и закрытый круг для тех, кто думает на шаг вперёд.

Узнать про Intelligence

Не пропускайте важное

Еженедельный дайджест Aravana — ключевые события в AI, робототехнике и longevity.

Похожие материалы

Как начать пользоваться Ideogram 4.0: первая открытая модель генерации изображений

Ideogram 4.0 -- первая open-weight модель от Ideogram с натуральным разрешением 2K, точным рендерингом текста и JSON-промптингом. Запускается локально и доступна бесплатно.

·7 мин

Как начать пользоваться Exa AI: поисковый API для разработчиков AI-агентов

Exa AI -- нейросетевой поисковый движок для разработчиков с оценкой $2.2 млрд. Семантический поиск, MCP-интеграция с Cursor и Claude, четыре режима под разные задачи, 1000 запросов в месяц бесплатно.

·7 мин

Как запустить NVIDIA Nemotron-Labs-TwoTower: диффузионная LLM в 2.4 раза быстрее

Nemotron-Labs-TwoTower -- первая диффузионная языковая модель от NVIDIA. Открытые веса, коммерческая лицензия, 2.42x ускорение генерации. Запускается локально на GPU от 24 ГБ VRAM.

·7 мин