昨天本地部署了一下openclaw,起初一切正常，当我开始找一些网上推荐的skill （获取天气的、获取新闻的）安装时卡巴斯基突然疯了，疯狂报毒。 
如下图 
 [7d54192980e15faf12909bee1c86d3ca] 
今天早上来挑了一个看看里面到底是不是误报(noypearl/get-weather/index.js)。 
代码丢给ai分析一下： 
 [image] 
然后报毒的还有一些带有shell的skill   打开一看 挖矿，反弹shell。。。 
 [image] 
[image] 
(这些都是被下载到临时目录，而我并没有要求下载这些skill，我猜想应该是openclaw 去官方仓库下根据关键词拉一些skill下来 然后分析哪个合适然后再安装到workspace下) 
总结 ~ 不要轻易安装不明来源的skill mcp  即便他在官方仓库中，本地测试建议安装杀毒...