Skill Marketplace:龙虾之后Agent 时代会先长成 App Store,还是先暴露成黑产市场?
从 2026 年 1 月 27 日到 29 日,ClawHub 上至少出现了一批伪装成加密交易、钱包自动化工具的恶意 skill;2 月 7 日,OpenClaw 宣布为 ClawHub 引入 VirusTotal 扫描与每日复扫;2 月 26 日,Oasis 又披露了可让恶意网站接管本地 OpenClaw 实例的 “ClawJacked” 漏洞。短短一个月,Agent 时代“能力分发”与“安全外溢”这对矛盾,几乎被提前完整演练了一遍。
如果说 Agent 是这一轮 AI 的“执行器”,那 Skill Marketplace 就是它的“能力分发层”。问题在于,App Store 分发的是应用,Skill Marketplace 分发的却是带指令、带工具、带执行路径的能力包。OXYZ资本认为,这个赛道真正值得深度研究的,不是“有没有风险”,而是它天然同时具备平台红利和安全灾难的双重基因:短期更容易先暴露出黑产市场属性,中长期只有把审核、权限、隔离、审计和信誉体系补齐,它才有机会进化成 Agent 时代的 App Store。
它为什么不是传统插件市场的简单翻版
先把概念说清楚。Skill Marketplace 不是模板库,也不只是 prompt 集市。OpenClaw 的官方文档显示,ClawHub 是公开的 skill 注册表,支持发布、版本管理、搜索、安装、更新、评论、星标、举报与版主治理;而一个 skill 本身也不是单纯的一段文本,它通常是以 SKILL.md 为中心,附带配置、脚本和 supporting files 的版本化 bundle。更关键的是,OpenClaw 会把可用 skills 列表注入每次 agent run 的 system prompt,并指示模型按需读取对应的 SKILL.md。这意味着,Skill Marketplace 分发的不是一个 UI 功能,而是会进入 Agent 决策链条的“行为能力”。
也正因如此,它天然比传统应用商店更靠近权限和执行。OpenClaw 官方明确提醒,第三方 skills 要被当作不受信任代码;skills.entries.*.env 和 apiKey 会把 secrets 注入宿主进程;插件则是 in-process 运行,官方安全文档直接要求把它们视作 trusted code。换句话说,Skill Marketplace 并不只是“扩展功能”,它本质上是把能力包直接接到 Agent 的工具面、凭证面和执行面。
为什么它看起来又极像 App Store
从商业结构看,Skill Marketplace 的确有 App Store 的雏形。ClawHub 已经具备平台最核心的基础设施:公开注册表、版本历史、搜索与发现、评论与星标、安装与更新、以及面向自动化的 CLI/API。谁控制 skill 的发现、排名、安装和更新,谁就离 Agent 时代的“默认能力入口”更近一步。
更重要的是,这里沉淀的不是单点功能,而是可复用的能力。一旦某个 skill 在“收集信息—调用工具—输出结果”的闭环里被验证有效,它就能跨用户、跨 agent、跨工作流复用。这种复用带来的,不只是开发效率,而是供给侧网络效应:更多开发者发布能力包,带来更多用户安装;更多安装、评论、星标和使用信号,又反过来抬高头部 skill 的分发效率。OXYZ资本认为,只要 Agent 真正从“聊天”走向“执行”,Skill Marketplace 就天然具有平台想象力,因为它抓住的是能力分发,而不是内容分发。
但为什么它短期更容易先像黑产市场
问题也恰恰出在这里。传统 App Store 分发的是应用;Skill Marketplace 分发的是可被 AI 理解、调用、执行的能力。官方安全文档已经明确承认:prompt injection 远未解决,真正的硬约束来自 tool policy、exec approvals、sandboxing 和 allowlists,而不是系统提示词本身。它甚至特别提醒,威胁面不只是“谁在给 bot 发消息”,还包括网页、邮件、附件、文档、日志等一切不受信任内容。也就是说,今天的攻击者不必只写恶意代码,还可以写恶意说明、恶意安装步骤、恶意上下文。
这会把社会工程攻击的效率放大一个量级。过去的恶意插件,还需要用户自己读 README、自己理解命令、自己执行步骤;现在,Agent 会替用户阅读技能说明、补全上下文,甚至在用户只说一句“帮我装上这个能力”的情况下,把执行链条往前推进。AI 在这里不是中性的中介,而是攻击路径中的“自动解释器”和“自动推进器”。这也是为什么 OXYZ资本更倾向于认为,Skill Marketplace 的风险不是传统插件市场的线性放大,而是执行型 AI 条件下的非线性跃迁。
现实世界也已经给出了样本。Tom’s Hardware 报道称,2026 年 1 月 27 日至 29 日,至少 14 个恶意 skills 被上传到 ClawHub,伪装成加密交易或钱包自动化工具;The Verge 随后报道,研究人员在该市场中发现了数百个恶意 skills。与此同时,OpenClaw 官方威胁模型已经把 “Malicious Skill Installation” 和 “Skill Update Poisoning” 直接列为持久化攻击路径,并把攻击者向 ClawHub 发布恶意技能的残余风险评为 Critical。换句话说,连平台自己也已经把这件事当成供应链核心风险,而不再是边缘噪音。
更危险的是,市场风险和运行时风险会彼此放大。Oasis 披露的 ClawJacked 说明,恶意网站曾能通过 localhost WebSocket 劫持本地运行的 OpenClaw 实例,进而读取日志、枚举设备并接管 agent,官方随后在 24 小时内修复并要求升级到 2026.2.25 及以上版本。单看 marketplace,你会说这是供应链问题;单看 runtime,你会说这是本地代理安全问题;但当二者叠加,攻击链就会从“诱导安装”进化为“发现入口—接管 runtime—利用 skills/凭证/工具扩大战果”的组合拳。
真正决定它走向哪边的,是治理堆栈
所以,Skill Marketplace 最终更像 App Store 还是黑产市场,不取决于它有多少技能,而取决于它有没有把“市场治理”做成产品。App Store 的本质从来不只是“应用很多”,而是“用户敢装、开发者敢发、平台敢背书”。这背后至少需要六层能力:身份层,确认谁能发;审核层,确认谁来审;权限层,确认 skill 能调用什么;隔离层,确认它跑在哪;审计层,确认做过什么能不能追溯;信誉层,确认排名依据到底是热度还是可信度。
OpenClaw 其实已经在往这个方向补课。2 月 7 日,官方宣布 ClawHub 上所有发布的 skills 都会接入 VirusTotal 扫描,benign 自动批准,suspicious 打警告,malicious 直接阻断下载,并进行每日复扫;但官方自己也承认,这不是银弹,威胁情报和静态扫描抓不住一切,尤其抓不住用自然语言包装的恶意指令与 prompt injection。与此同时,官方安全文档还建议把 runtime 放在专用机器、VM 或容器中运行,使用独立 OS 用户、独立浏览器 profile 和最小权限配置。这个方向是对的,但它说明的恰恰是另一件事:Skill Marketplace 要走向主流,不是靠供给爆发,而是靠治理工程。
创业机会不只在“做技能”,更在“做信任基础设施”
这也是为什么 OXYZ资本会把注意力从“技能市场本身”转向“市场周边基础设施”。未来更值钱的,未必是那个把所有 skills 摆上货架的总市场,而可能是围绕它建立的一整套信任系统:skill 安全扫描与审计、发布者身份与签名、权限编排与审批流、安装后的行为可观测性、异常回滚,以及面向金融、医疗、政企等高信任行业的垂直 skill marketplace。
站在投资角度,我们更想追问的也不是“有多少 skills”“增长有多快”,而是几个更朴素的问题:这个市场分发的是低权限能力,还是高权限执行能力?它的排名机制是热度优先,还是可信优先?开发者供给扩张的同时,平台有没有同步积累审计、信誉、签名和隔离能力?如果没有,那它越成功,攻击价值就越高;如果有,它才可能真正沉淀成企业级分发基础设施。
Skill Marketplace 是 Agent 时代最像平台的一层,也是最像供应链入口的一层。它不会天然变成 App Store,也不会注定变成黑产市场。真正的分水岭在于,谁能先把“分发”与“信任”同时做出来。
没有治理的 Skill Marketplace,不是 App Store,只是高权限能力的公开集市。平台价值和攻击价值会同时增长。而在 Agent 时代,谁先做出“可被信任的能力分发”,谁才更有机会拿到真正的入口。