OpenClaw 装完就吃灰?26 个 Tools + 53 个 Skills 的正确打开方式

发表于 更新于 分类于 阅读次数: 本文字数: 5.4k 阅读时长 ≈ 5 分钟

cover

装好 OpenClaw 的第三天,我对着 Telegram 发了一句「帮我整理一下今天的邮件」,它回了一段话,大意是:我没有访问你邮件的权限。

我才意识到,我装了一个什么都不会的 AI 助理。

问题不在 OpenClaw,在我。我以为装上就能用,但 OpenClaw 有 26 个 Tools、53 个官方 Skills、外加 ClawHub 上 13700+ 个第三方 Skills——全开有安全隐患,全关跟聊天机器人没区别。官方文档散落在不同页面,GitHub Issues 里的讨论比文档还详细。

这篇文章帮你理清一件事:装完之后,到底该开什么、关什么、怎么配,才能让 OpenClaw 真正替你干活。

先搞清楚:Tools 和 Skills 是什么关系

很多人装完 OpenClaw 之后的第一个困惑就是:Tools 和 Skills 到底什么区别?

一句话:Tools 是器官,Skills 是教材。

Tools 决定 OpenClaw 「能不能」做某件事。readwrite 让它读写文件,exec 让它执行命令,web_search 让它搜索网页,browser 让它操控 Chrome。没有对应的 Tool,它就像没有手——再聪明也干不了活。

Skills 决定 OpenClaw 「会不会」做某件事。gog 教它怎么操作 Gmail 和 Google Calendar,obsidian 教它怎么整理笔记,github 教它怎么管理仓库。Skills 是说明书——告诉 AI 怎么组合 Tools 去完成一个具体任务。

关键点来了:装了 Skill 不等于有了权限。

举个例子。你装了 obsidian Skill,OpenClaw 现在「知道」怎么整理 Obsidian 笔记了。但如果你没开 write Tool,它连文件都写不了——知道怎么做,但做不到。

反过来也一样。你开了 exec Tool,OpenClaw 可以执行任何命令。但如果没装 github Skill,它并不知道该怎么用 gh CLI 来帮你管理 PR。

Tools 给能力,Skills 给知识。两者都需要,但配置逻辑完全不同。

26 个 Tools:三层同心圆,逐层开启

把 26 个 Tools 一字排开会让人头大。一个更好的理解方式是把它们想象成三层同心圆:

第一层:核心能力(8 个 Tools)

这是 OpenClaw 的地基。几乎所有人都应该开启。

文件操作四件套: readwriteeditapply_patch。读文件、写文件、结构化编辑、打补丁。这四个是基础中的基础,不开的话 OpenClaw 连帮你改个配置文件都做不到。

执行与进程: execprocessexec 让 OpenClaw 能执行任何 Shell 命令——注意,是「任何」。它可以帮你装依赖,也可以 rm -rf 你的整台机器。

所以 exec 必须配合审批使用:

1
2
3
4
5
{
  "approvals": {
    "exec": { "enabled": true }
  }
}

开了审批之后,每条命令都会先显示给你看,确认了才执行。烦不烦?烦。但这是你最后一道防线——万一 AI 判断失误,或者被 Prompt Injection 攻击,这个门能救你。

网页访问: web_searchweb_fetch。一个搜索,一个读网页。开了这两个,OpenClaw 才能上网查资料。

第二层:进阶能力(18 个 Tools)

第一层是「能不能用」,第二层是「好不好用」。这一层的 Tools 把 OpenClaw 从命令执行器变成真正的助手。但每多开一个,攻击面就大一点。按需开启。

浏览器控制: browsercanvasimagebrowser 让 OpenClaw 操控 Chrome——点按钮、填表单、截屏。v2026.3.13 新增了 Chrome DevTools 直连模式,可以接入你已登录的 Chrome,不需要装插件。

用它来做价格对比、查规格参数很方便。但有一条红线:涉及支付的最后一步,永远不要交给 AI。

记忆系统: memory_searchmemory_get。让 OpenClaw 跨会话记住信息。用一周之后,它知道你用 Astro 建站、部署在 Azure、偏好繁体中文——不需要每次重新解释。用得越久,越懂你。

多会话: sessions 系列(5 个 Tools)。同时跑多个会话——一个讨论产品方案,一个查旅行攻略,互不干扰。还有 sessions_yieldsubagents 用于多 Agent 编排,高级玩家才需要。

消息推送: message。让 OpenClaw 往 Discord、Slack、Telegram、WhatsApp、iMessage 发消息。

这个 Tool 的正确用法是:只给自己发消息。 永远不要让 AI 代替你跟别人沟通。原因很简单:以你名义发出去的消息收不回来。AI 理解错了上下文、用错了语气、或者被 Prompt Injection 利用——后果你承担。

定时任务: crongatewaycron 设置定时任务,gateway 让 OpenClaw 自动重启。这两个是实现自动化的关键——后面会详细讲。

硬件控制: nodes。跨设备硬件控制——远程截屏、GPS 定位、摄像头。说实话,我想不到什么场景需要让 AI 主动打开摄像头。关掉。

该开哪些?一个实用的参考配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
{
  "tools": {
    "allow": [
      "read", "write", "edit", "apply_patch",
      "exec", "process",
      "web_search", "web_fetch",
      "browser", "image",
      "memory_search", "memory_get",
      "sessions_list", "sessions_history",
      "sessions_send", "sessions_spawn", "session_status",
      "tts",
      "message", "cron", "gateway", "agents_list"
    ],
    "deny": ["nodes", "canvas", "llm_task", "lobster"]
  },
  "approvals": {
    "exec": { "enabled": true }
  }
}

原则:想不到使用场景的,不开。 nodes(硬件控制)、canvas(画布)、llm_task / lobster(工作流引擎)——大多数人用不到。

53 个 Skills:不是越多越好

53 个官方 Skills 听起来很多,但扫一遍你会发现,跟你有关的可能只有十几个。剩下的——外卖、智能家居、语音通话——不是不好,是跟你的场景不搭。

重要提示:官方 Skills 默认全部自动加载。 只要你机器上装了对应的命令行工具,Skill 就会自动激活。不是「不装就没有」,而是「不关就全开」。

要控制哪些 Skill 生效,用 skills.allowBundled 做白名单:

1
2
3
4
5
6
7
8
9
{
  "skills": {
    "allowBundled": [
      "gog", "github", "tmux", "session-logs",
      "weather", "summarize", "clawhub",
      "healthcheck", "skill-creator"
    ]
  }
}

按使用场景分类,帮你快速决策:

笔记类

4 个笔记 Skill:obsidiannotionapple-notesbear-notes

如果 OpenClaw 跑在 VM 上,apple-notesbear-notes 直接排除——它们只在本地 Mac 上能用。obsidian 操作本地文件,如果 Vault 不在同一台机器上也没法用。跑在 VM 上的话,notion 是最省心的选择——云端服务,没有部署限制。

生产力类

邮件有两个:gog(Google 全家桶)和 himalaya(IMAP/SMTP)。用 Gmail 的话直接上 gog,覆盖 Gmail、Calendar、Tasks、Drive、Docs、Sheets。

任务管理有 things-macapple-reminderstrello。如果已经装了 gog,Google Tasks 就包含在内,不需要额外装。

聊天平台类的 Skill——wacli(WhatsApp)、imsg(iMessage)、slackdiscordbird(X/Twitter)——跟 message Tool 不同,这些 Skill 会给 OpenClaw 完整的平台访问权限,包括搜索消息历史、同步对话、管理频道。

建议:外部沟通的最后一步永远手动操作。

开发者类

  • github:通过 gh CLI 操作 GitHub,OAuth 授权,权限可控
  • tmux:管理多个终端会话
  • session-logs:搜索和分析历史对话日志
  • coding-agent:在后台调用其他 AI 编码工具(Claude Code、Cursor 等)

coding-agent 的潜力很大——你可以在 OpenClaw 的 VM 上装 Claude Code,然后通过 Telegram 对它说:「这个 GitHub 仓库挺有意思,clone 下来研究一下,给我搭个 Demo 站点。」它启动 Claude Code,自主执行,完成后推送通知。AI 调度 AI。

密码管理

1password 让 OpenClaw 访问你的 1Password 保险库。听起来很酷——「帮我登录 AWS 控制台」。但权限模型是全有或全无:一旦授权,整个保险库它都能读。你没法限制它只看某几条。

建议:如果真的需要,创建一个「AI 专用保险库」,只放你愿意让 AI 看到的密码。

让 OpenClaw 真正替你干活:自动化配置

配好 Tools 和 Skills 之后,OpenClaw 充其量是一个「你问它答」的助手。真正让它从聊天机器人变成基础设施的,是 cron(定时任务)+ message(消息推送) 的组合。

模式永远是一样的:触发 + 执行 + 推送。 定义什么时候跑、跑什么、结果发到哪里。

自动化实例 1:每日简报

每天早上 6:47,你的 Telegram 收到一份简报——今天的日历安排、需要回复的邮件、天气预报、昨晚有没有 CI/CD 失败。

一个 cron 入口,加一段 prompt,告诉 OpenClaw 用哪些 Tools 收集信息、发到哪里。这一个自动化,替代了你每天早上打开五个 App 的习惯。

自动化实例 2:邮件分类

每天两次,OpenClaw 扫描收件箱,按紧急程度分类,发一份摘要给你。Newsletter 自动归档,需要回复的邮件标记并附上一句话摘要。

效果:邮件管理从每天 30 分钟降到 5 分钟。

自动化实例 3:CI/CD 监控

GitHub Actions 工作流失败时,OpenClaw 读取错误日志,定位可能的原因,推送一条 Telegram 消息告诉你诊断结果。

有人在排队买咖啡的时候,用手机看了一眼推送,直接在 Telegram 里回复 OpenClaw 处理——生产环境问题就这么修了。

自动化实例 4:内容素材收集

每天自动收集特定 Subreddit、Hacker News、RSS 订阅源的热门讨论,整理成一份选题摘要。它不替你写文章——它帮你发现值得写什么。

三条安全红线

OpenClaw 的能力越强,你越需要画清边界。三条红线:

第一条:exec 必须开审批。 没有例外。「任何 Shell 命令」意味着它理论上可以删你所有文件、读你所有密钥。审批是最后一道门。

第二条:message 只发给自己。 对外沟通——回复客户邮件、发 Slack 消息、发推文——永远自己做。AI 以你的名义发出去的话收不回来。

第三条:最后一步永远手动。 结账付款、发布内容、发送消息——任何不可逆的操作,留给自己。OpenClaw 可以帮你把购物车加好,但点「支付」的是你。

这不是因为 AI 不靠谱。而是因为错误的代价不对称——AI 做对了 100 次你觉得理所当然,做错了 1 次你可能损失惨重。把不可逆的决策权留在自己手里,是使用任何 AI Agent 的基本原则。

顺便说一句安全提醒:2026 年 1 月,OpenClaw 被发现了一个 RCE 漏洞(CVE-2026-25253),已经修复。但这提醒我们:保持更新,定期检查版本。