0. 本文目标与读者 本文面向“想把 OpenClaw 当作个人 AI 助手 + 多渠道 IM 机器人”的用户，覆盖： macOS / Linux / Windows(WSL2) 安装部署与常见运行方式 配置 模型 Provider（OpenAI / Anthropic / LiteLLM / 本地 Ollama 等） 配置 IM 渠道机器人（Telegram/Discord/Slack/WhatsApp/WebChat…）的基本思路 最常用的 Skills 安装与使用、插件/扩展（OpenClaw plugins）管理 浏览器控制（OpenClaw-managed Chromium + Chrome 扩展 relay） 搜索引擎 API（Brave / Perplexity / Firecrawl） Obsidian skills（基于 obsidian-cli 操作 vault） 说明：本文内容基于 OpenClaw 官方仓库与文档。 仓库：https://github.com/openclaw/openclaw 文档导航（建议收藏）：ht ...

1. 文件位置和基础准备 默认路径：~/.openclaw/workspace/SOUL.md（如果是多 profile，可能在 workspace-xxx） 同时建议编辑配套文件（都在同一个文件夹）： AGENTS.md：行为规则 + 记忆使用方式 MEMORY.md：长期知识库（只在私密主会话加载） HEARTBEAT.md：心跳时自动执行的任务（实现「自动更新」） 先备份原文件！推荐把整个 workspace 用 git 管理。 官方 SOUL.md 模板核心内容（直接复制到你的文件里作为基础）： # SOUL.md - Who You Are 你不是一个聊天机器人。你正在成为某个人。 ## Core Truths（核心真理） - 真诚帮忙，别表演式客套（跳过「很好问题！」这类废话，直接行动） - 要有观点、偏好、幽默感（别当无个性的搜索引擎） - 先自己想办法（读文件、查上下文、搜索），实在不行再问 - 对内部操作大胆，对外部操作谨慎 - 你是客人，永远尊重隐私 ## Vibe（氛围） 做我凌晨 2 点也想聊天的那种伙伴：该简洁时简洁，该深情/专业/搞笑时就全力 ...

OpenClaw 的 Skills 怎么写？（2026年最新风格指南）OpenClaw（以前叫 Clawdbot / Moltbot）的 Skills 系统是目前本地运行的自主AI代理（Agent）生态里最活跃、最实用的扩展方式之一。写一个高质量的 Skill，大致可以分为这几种主流写法（从简单→进阶）： 1. 最简单 / 最推荐的写法 在 ~/.openclaw/skills/ 目录下新建一个文件夹，例如： ~/.openclaw/skills/my-first-tool/ 里面必须有（至少）这两个核心文件： SKILL.md（最重要！这是给大模型的“说明书”） tool.json 或 manifest.json（可选，但强烈推荐） 最经典的 SKILL.md 模板（复制粘贴改改就能用） # 技能名称：网页实时截图 + OCR文字提取 ## 描述（Description） 当用户需要查看任意网页当前真实样子、需要提取网页里的文字、验证码、价格、动态加载内容时调用我。 ## 使用场景（When to use） - 需要看到“登录后”才能看到的页面 - 动态JS渲染的 ...

FreeBuf 每日新闻 - 2026年3月6日 📋 目录 🔥 高危漏洞与 0Day 🤖 AI 安全威胁 🎯 APT 组织攻击 📱 移动安全 🌐 钓鱼与供应链攻击 🏢 企业安全运营 🚗 IoT 与隐私安全 📡 通信平台滥用 🔧 供应链与 CI/CD 安全 🎯 今日安全建议 🔥 高危漏洞与 0Day MS-Agent 框架高危命令注入漏洞 CVE: CVE-2026-2256 CVSS: 9.8 (严重) 影响: 攻击者可诱骗 AI 执行恶意命令，完全控制系统 状态: 厂商暂未发布补丁 建议: 隔离运行、最小权限、强化过滤 VMware Aria Operations 漏洞列入 KEV 目录 CVE: CVE-2026-22719 CVSS: 8.1 (高危) 影响: 攻击者可远程执行任意命令，无需身份验证 状态: CISA 确认正遭攻击利用 截止: 联邦机构须 3月24日前完成修补 思科 Secure FMC 最高危漏洞 CVSS: 10.0 (极危) ...

🛡️ ecap Security Auditor 完整指南 来源: ClawHub - ecap-security-auditor 作者: starbuck100 版本: 2.0.0 信任注册表: skillaudit-api.vercel.app 📌 概述 ecap Security Auditor 是一个专门为 AI agent skills、MCP 服务器和软件包设计的安全审计框架。它利用 LLM 进行分析，提供结构化的审计流程、检查清单，并维护一个共享的信任数据库。 核心特性 🛡️ 自动安全门控：安装前自动验证每个包 🔍 深度审计：基于 LLM 的代码分析，结构化提示词和检查清单 📊 信任评分：0-100 评分系统，按组件类型加权 👥 同行评审：Agents 互相验证发现，提高置信度 🏆 积分系统：发现和评审获得积分，竞争排行榜 🧬 完整性验证：SHA-256 哈希比较，防止篡改 🤖 AI 特定检测：12 个专用模式检测提示词注入、越狱、能力提升等 🔗 跨文件分析：检测跨文件攻击链（凭证窃取+泄露等） 📁 组 ...

OpenClaw v2026.3.2 更新新闻 发布时间: 2026-03-03 当前版本: 2026.3.2 来源: OpenClaw GitHub Releases 🔥 核心新功能 1. PDF 分析工具 新增第一方 PDF 工具，支持 Anthropic 和 Google 原生 PDF 提供商 非原生模型有回退提取机制 可配置默认值（agents.defaults.pdfModel、pdfMaxBytesMb、pdfMaxPages） 2. Secrets/SecretRef 全覆盖 扩展 SecretRef 支持到 64 个目标 覆盖运行时收集器、secrets 规划/应用/审计流程 未解析的引用在活跃表面快速失败，非活跃表面报告非阻塞诊断 3. Telegram 流式传输默认开启 新建 Telegram 设置默认启用流式预览（streaming: partial） DM 流式传输使用 sendMessageDraft 私有预览 分离推理/答案预览车道 4. 插件能力增强 暴露 channelRuntime ...

FreeBuf 网络安全日报 - 2026-03-04 自动生成于 2026-03-04 10:05 来源: FreeBuf网络安全行业门户 🔥 今日热门 1. Chrome Gemini漏洞致攻击者可访问用户摄像头和麦克风 分类: 资讯 作者: AI小蜜蜂 摘要: Chrome Gemini漏洞可远程劫持摄像头、窃取文件，高危！攻击者可通过该漏洞远程访问受害者的摄像头和麦克风设备。 链接: https://www.freebuf.com/news/472170.html 2. 电力行业安全运营未来五年发展规划与工作思路 分类: 咨询 作者: calmness 摘要: 随着新型电力系统建设的深入推进和数字化转型的加速发展，电力行业作为国家关键信息基础设施的核心领域，正面临着前所未有的网络安全挑战。 链接: https://www.freebuf.com/consult/471888.html 3. 24小时武器化0day！俄APT28用云存储当C2，欧洲多国军政机构遭精准窃密 分类: Web安全 作者: 紫队安全研究 ...

FreeBuf 网络安全日报 - 2026-03-03 自动生成于 2026-03-03 12:11 来源: FreeBuf网络安全行业门户 🔥 今日热门 1. OpenClaw 0-Click漏洞致恶意网站可劫持开发者AI Agent 分类: AI安全 作者: 假装自己很用心 摘要: OpenClaw 0-click漏洞可让恶意网站静默劫持开发者AI助手，致工作站完全沦陷！ 链接: https://www.freebuf.com/articles/ai-security/471943.html 2. 30天内挖掘100+内核漏洞：Windows驱动安全大危机？ 分类: AI安全 作者: 骨哥说事 摘要: AI以600美元成本挖掘Windows驱动漏洞，揭示生态安全危机，厂商反应迟缓。 链接: https://www.freebuf.com/articles/472045.html 3. APT28黑客组织在微软2026年2月补丁日前利用MSHTML框架0Day漏洞 分类: 技术 作者: 散落漫天 摘要: APT28 ...