需升级至qclaw v2.3.0+,启用clawhub直连通道并绑定腾讯账号,通过内置浏览器安装技能,或手动导入zip包经本地扫描,再启用skill vetter插件强化防护。
如果您已成功部署qclaw并希望为其扩展能力,但无法在clawhub上直接安装热门skills,则可能是由于qclaw默认未启用clawhub直连通道或技能签名验证机制拦截了非认证包。以下是解决此问题的步骤:
一、确认QClaw版本与ClawHub兼容性
QClaw自v2.3.0起正式支持ClawHub技能市场协议,低版本客户端因缺少SKILL.md解析引擎和安全沙箱模块,将拒绝加载任何ClawHub技能包。需确保当前运行的是最新内测版。
1、打开QClaw主界面,点击右下角设置图标(齿轮形状)。
2、进入「关于QClaw」页面,查看当前版本号是否为v2.3.0或更高版本。
3、若版本过低,访问https://qclaw.tencent.com/download下载最新安装包,覆盖安装(旧配置与技能数据自动保留)。
二、启用ClawHub官方技能市场通道
QClaw默认关闭外部技能源以保障基础安全,必须手动开启ClawHub直连权限,并完成腾讯账号绑定以获取签名白名单授权。
1、在QClaw设置中选择「技能管理」→「技能市场」。
2、滑动开启「允许从ClawHub安装技能」开关。
3、点击「绑定腾讯账号」,使用微信扫码完成身份认证——未绑定账号将无法通过ClawHub安全校验。
4、返回后等待约10秒,界面自动刷新显示ClawHub官方市场入口卡片。
三、通过QClaw内置浏览器安全安装ClawHub技能
为防止恶意重定向与中间人劫持,QClaw禁止外部浏览器跳转安装,所有ClawHub技能必须通过其内置可信浏览器完成下载、校验与注入全流程。
1、点击ClawHub市场入口卡片,进入内置浏览器界面。
2、在搜索栏输入目标技能名称(如tavily-web-search),或点击「热门榜单」筛选Top 50。
3、找到技能后,点击「安装」按钮——此时QClaw将自动执行三项操作:拉取SKILL.md元数据、比对ClawHub官方签名证书、校验SHA-256哈希值。
4、弹出绿色提示「✅ 已通过ClawHub官方签名验证」后,点击「确认安装」,技能即注入本地运行时环境。
四、手动导入本地下载的ClawHub技能包
当网络策略限制直连ClawHub,或需离线部署经审计的技能包时,可采用ZIP包导入方式。该方式绕过在线签名验证,但强制触发QClaw本地静态扫描引擎进行深度代码审计。
1、访问ClawHub官网(https://clawhub.ai/),搜索目标技能,点击「Download ZIP」获取标准技能包。
2、解压ZIP包,确认根目录下存在SKILL.md、skill.py、manifest.json三个必需文件。
3、在QClaw「技能管理」→「本地导入」中,点击「选择文件」,上传该ZIP包。
4、QClaw将启动本地扫描:检测硬编码API Key、可疑网络请求、危险系统调用——任一高危项命中即终止安装并标红告警。
五、启用Skill Vetter实时防护插件
即便从ClawHub安装,仍存在极小概率遭遇供应链污染(如已被下架但缓存未清除的恶意版本)。Skill Vetter作为运行时防护层,可在技能激活前动态拦截异常行为。
1、在ClawHub市场中搜索skill-vetter,优先安装该技能(已获ClawHub官方安全认证徽章)。
2、安装完成后,进入其配置页,开启「安装时自动扫描」与「运行时行为监控」双开关。
3、此后每次新技能启用前,QClaw将强制暂停3秒并弹出安全摘要面板,显示本次调用可能涉及的文件读写路径、网络目标域名及进程创建行为。
