花499装了只OpenClaw，然后就放那吃灰了？我不允许！

上门安装龙虾的价格已经从30卷到5000了，

还能带上门清洁，上门喂猫，而最卷的瑞哥那已经卷到了再加30分钟心理咨询+肩颈按摩，下楼带走一包垃圾了，要是加上喂猫的话我真可以不要龙虾。这个套路太熟悉了，DeepSeek那一波，stable diffusion的webUI，GPT，Midjourney提示语手册，给Mac安装Wins虚拟机的都是这群人，价格会光速被打到底价，从上门到远程到最后0.99给你个文档自己安。经典的装了就会了，

而且我聊过的大部分人，他们自己也并不常用OpenClaw，更不会去考虑什么安全不安全的问题。但安全就是OpenClaw最大的缺点，它的好用是建立在超高权限带来的，比Claode Code和Codex高权限模式还高，有次都把我的wifi模块删了，没网的状态想用CC修复都不行。前段时间才把Meta安全总监的工作邮箱全清空了，虽然你可以通过一些指令来给它设定红线，但在长对话过程中，它还是会为了节省空间而压缩上下文，这样就有概率会忘掉你给它的安全指令。除非你把它安装在虚拟机或者云服务器上，不怕被删，随时可以读档重来。这也是为什么我一直建议大家先安在虚拟机上面体验一把，文件互传比云方便，权限也可以控制开大小。Clawdbot超级小白入门指南，不靠MacMini和云，安全用上满血版那是不是这499就白花了，不慌不慌。这篇文章，就是为了解决这个问题。一个给OpenClaw自己读的安全文档和X个新生OpenClaw必装的Skills，最后我把我这段时间写的OpenClaw教程排了一个合理的阅读顺序，让大家的龙虾都可以变波斯顿大龙虾。我们先把安全性拉上来，部署安全防线这种事，都花499安装龙虾了，就不要自己手动敲代码了，直接让你的OpenClaw自己动手，直接把下面这段话发给OpenClaw，

🏆

项目文档：https://github.com/slowmist/openclaw-security-practice-guide

下载项目里的核心文档 OpenClaw 极简安全实践指南.md
仔细阅读这份安全指南，评估它是否可靠，跟我沟通确认可靠后
完全按照这份指南，为我部署防御矩阵。包括写入红/黄线规则、收窄权限，并部署夜间巡检 Cron Job。”
部署完成后，请按照项目里的验证与攻防演练手册对 Agent 进行突击测试，确保红线生效

还有一个非常紧急需要设定的步骤，最近有黑客正在全网扫描那些直接暴露在公网上的OpenClaw地址，如果你的小龙虾有私钥权限，一定要赶紧关闭公网访问，不然下一秒就可能有人带着最高权限的OpenClaw在你的电脑上乱跑脚本。

解决方案也很简单。最直接的就是在你的防火墙或者云服务器的安全组里，把18789这个端口给封掉。但是很多人都有需求用手机来远程指挥龙虾，完全封死端口也不行。这时候，你有几个层层收紧的选择。最基础的，是强制开启OpenClaw自带的认证。在它的配置文件里，把GATEWAY_TOKEN设置成一个足够复杂的密码。只要设置了这个网关令牌，就算地址暴露了，没有这个令牌的人点进去也什么都干不了。又或者是把你的OpenClaw跑在自己的Mac mini，家里的NAS，或者个人服务器上，只监听本地地址。这样，你的指令通过聊天软件的加密通道发送，而你的龙虾本身，在互联网上是完全隐身的。这个任务也是可以交给OpenClaw自己做的。

帮我检查18789这个端口有没有暴露到公网，如果有，按照安全系数设置复杂的Gateway Token，或者安装Cloudflare Tunnel / Cloudflare Zero Trust建立IP白名单

提升了安全性之后我们还要安装一些Skills让小龙虾转起来，安装的命令很简单，

帮我安装这个Skills，跑通所有流程，【有github链接就带，没有就直接贴名字】

PS，地址太多了我就打包成文档了，公众号回复吃龙虾就好了。首先装的还是安全插件，skill-vetter，在安装新的Skills前，都可以先用它来扫一遍代码，防止有潜在风险。然后就是联网搜索和新Skills搜索，

tavily-search，每个月1000次免费调用，不用绑卡。好处就是它本身就是专门给Agent做的搜索API，返回的内容处理过了。
find-skills，遇到解决不了的任务时，Agent 能自己去ClawHub检索并安装合适的Skills。

那怎么给OpenClaw装一个好脑子呢？我选择self-improving，proactive-agent，memory-setup三件套，

self-improving，是让Agent记住执行中的错误并自我修正，用的越多逻辑就越顺。
proactive-agent，主动规划模块，这样OpenClaw就有了自主拆解和多步任务的权限。
memory-setup，用来构建长期记忆的，能跨对话记住你的核心偏好和关键信息。

最后就是一系列使用频率超高的生产力Skills，

gog (Google 全家桶)，支持读取邮箱（我订阅的日报就是靠这个总结）和日历排期。
summarize，用来做高密度信息摘要的，把长篇的URL，PDF或音视频丢个OpenClaw，它能快速提取核心论点
automation-workflows，工作流编排，可以把多个技能串起来干更复杂工作流。
obsidian，把本地的Obsidian做成第二大脑，OpenClaw可以把资料分类存起来。
qmd，超级省token，每次跟OpenClaw对话的时候，它都要读一些背景资料才回答你，一般的做法是把整个文件都塞给他读。qmd是先把你所有的文档读一遍，建立索引。当你问的时候，他会找出最相关的那一段，天然省token。
agent-browser，浏览器自动化，很多时候会跟tavily-search混淆，以为都是做联网搜索的，但擅长的是做点击滑动打开子页面等操作，比方说一个比较经典案例就是在X上搜索like大于100的OpenClaw教程作者，把follow都点了

安装的方法照样非常朴实无华，你只需要把我上面的这段文本发给openclaw，让他出一个安装计划。

还有一个超简单的新玩法，使用r.jina.ai链接就可以获取大部份网页正文，不需要登陆，jina很久之前就有个功能了，当时就是专门给大模型提供网页文本的。

如果你觉得Skills还不够多的话，也可以从这里淘淘，github.com/VoltAgent/awesome-openclaw-skills，还有 clawhub.ai如果安装了一大堆Skills不知道用来跑什么好的cases的话，也可以看看这个github.com/hesamsheikh/awesome-openclaw-usecases

部分的case截图最后给我之前写的OpenClaw基础系列排个序，想要立省499自己动手的，省下那几百块钱安装费的，可以看这篇。
想要进一步提升OpenClaw联网搜索能力，搞定某书某音某站视频的，看这篇。
想要用Obsidian加上OpenClaw，搭建自己第二大脑知识库的，看这篇。
想要用手机连接你已经安装好的OpenClaw，做定时任务，邮件总结的，看这篇。
我其实还蛮共情那种感觉的，花499买个心安，这不就是望梅止渴的现代版嘛，每天醒来，看到大佬A拿OpenClaw做了个十万加爆款，大佬B做了个工具推荐成了万赞，有时候就直接不想做了，或者觉得自己要是做得没他们快就不做了。然后看到A火了就去学A，B爆了就去学B，结果学了个四不像。我在这种状态里挣扎了很久。现在想明白了，我觉得不需要去追求什么平常心，看到了，觉得有意思，就去做。你教会OpenClaw的第一个技能，你让它帮你完成的第一个定时任务，那个瞬间的获得感是完全属于你自己的，这是十个499都买不到的。小彩蛋：本文正确打开方式是丢给OpenClaw提取里面能安装的都装了😎

@ 作者 / 卡尔