0. 本文目标与读者 本文面向希望将 AI Agent 能力与渗透测试工具结合的安全研究人员和开发者，内容涵盖： Kali MCP Server 简介与核心功能 OpenClaw 作为 AI Agent 平台的优势 两者配合使用的典型场景与价值 完整的安装配置步骤（从零到可用） 实际使用案例与最佳实践 安全注意事项与风险控制 适合人群： 渗透测试工程师希望提升工作效率 安全研究人员探索 AI 辅助安全测试 DevSecOps 团队构建自动化安全工具链 对 MCP（Model Context Protocol）感兴趣的开发者 1. Kali MCP Server 简介 1.1 什么是 Kali MCP Server？ Kali MCP Server 是一个基于 Model Context Protocol (MCP) 标准的服务器实现，它将 Kali Linux 中的常用渗透测试工具封装为标准化的 MCP 工具接口，使得 AI Agent 能够通过自然语言理解和调用这些安全工具。 1.2 核心特性 标准化接口：遵循 MCP 协 ...

OpenClaw 做“联网检索”时，很多人第一反应是直接用内置 web_search。但需要先明确一个前提：OpenClaw 默认的 web_search 走 Brave Search API，如果你没有配置 Brave 的 API Key（例如没有设置 BRAVE_API_KEY），那它默认是不能用来检索网页的。 如果你更希望“开箱可用、面向 LLM 的结构化搜索结果”，一个很实用的做法是：用 Tavily 代替 Brave——通过自定义 Skill 调用 Tavily Search API，把搜索能力接入到 OpenClaw 的工具链里。 1. 为什么“默认 Brave”不配置就没法搜 OpenClaw 的 web_search 设计目标是“轻量搜索工具”，默认对接 Brave。它不会替你“自动申请/内置 Key”，也不会在没有 Key 的情况下提供可用的免费兜底。 所以你在以下场景会卡住： 你装好了 OpenClaw，也能正常对话 但一让它“帮我搜索某某信息”，就会返回搜索失败/鉴权失败/无结果 解决思路只有两条： 把 Brave Key 配齐（让 web_s ...

OpenClaw Skills 基础教程 本教程将带你从零开始，一步步学会如何创建、配置和使用 OpenClaw Skills。无论你是完全的新手还是有一定编程基础，都能跟着这个教程完成你的第一个 Skill。 📚 目录 什么是 OpenClaw Skills 环境准备 创建第一个 Skill Skill 文件结构详解 SKILL.md 编写指南 添加执行代码 测试和调试 发布和分享 常见问题解答 什么是 OpenClaw Skills 概念介绍 OpenClaw Skills 是 OpenClaw Agent 系统的扩展能力模块。通过 Skills，你可以让 AI Agent 具备各种实际操作能力，比如： 🌐 访问网页并提取信息 📁 读写本地文件 🔧 执行系统命令 📧 发送邮件和消息 🔍 搜索和查询数据 🎨 生成图片和文档 Skills 的工作原理 用户请求 → OpenClaw Agent → 分析意图 → 选择合适的 Skill → 执行 Skill → 返回结果 简单来说，Skill ...

0. 本文目标与读者 本文面向“想把 OpenClaw 当作个人 AI 助手 + 多渠道 IM 机器人”的用户，覆盖： macOS / Linux / Windows(WSL2) 安装部署与常见运行方式 配置 模型 Provider（OpenAI / Anthropic / LiteLLM / 本地 Ollama 等） 配置 IM 渠道机器人（Telegram/Discord/Slack/WhatsApp/WebChat…）的基本思路 最常用的 Skills 安装与使用、插件/扩展（OpenClaw plugins）管理 浏览器控制（OpenClaw-managed Chromium + Chrome 扩展 relay） 搜索引擎 API（Brave / Perplexity / Firecrawl） Obsidian skills（基于 obsidian-cli 操作 vault） 说明：本文内容基于 OpenClaw 官方仓库与文档。 仓库：https://github.com/openclaw/openclaw 文档导航（建议收藏）：ht ...

1. 文件位置和基础准备 默认路径：~/.openclaw/workspace/SOUL.md（如果是多 profile，可能在 workspace-xxx） 同时建议编辑配套文件（都在同一个文件夹）： AGENTS.md：行为规则 + 记忆使用方式 MEMORY.md：长期知识库（只在私密主会话加载） HEARTBEAT.md：心跳时自动执行的任务（实现「自动更新」） 先备份原文件！推荐把整个 workspace 用 git 管理。 官方 SOUL.md 模板核心内容（直接复制到你的文件里作为基础）： # SOUL.md - Who You Are 你不是一个聊天机器人。你正在成为某个人。 ## Core Truths（核心真理） - 真诚帮忙，别表演式客套（跳过「很好问题！」这类废话，直接行动） - 要有观点、偏好、幽默感（别当无个性的搜索引擎） - 先自己想办法（读文件、查上下文、搜索），实在不行再问 - 对内部操作大胆，对外部操作谨慎 - 你是客人，永远尊重隐私 ## Vibe（氛围） 做我凌晨 2 点也想聊天的那种伙伴：该简洁时简洁，该深情/专业/搞笑时就全力 ...

OpenClaw 的 Skills 怎么写？（2026年最新风格指南）OpenClaw（以前叫 Clawdbot / Moltbot）的 Skills 系统是目前本地运行的自主AI代理（Agent）生态里最活跃、最实用的扩展方式之一。写一个高质量的 Skill，大致可以分为这几种主流写法（从简单→进阶）： 1. 最简单 / 最推荐的写法 在 ~/.openclaw/skills/ 目录下新建一个文件夹，例如： ~/.openclaw/skills/my-first-tool/ 里面必须有（至少）这两个核心文件： SKILL.md（最重要！这是给大模型的“说明书”） tool.json 或 manifest.json（可选，但强烈推荐） 最经典的 SKILL.md 模板（复制粘贴改改就能用） # 技能名称：网页实时截图 + OCR文字提取 ## 描述（Description） 当用户需要查看任意网页当前真实样子、需要提取网页里的文字、验证码、价格、动态加载内容时调用我。 ## 使用场景（When to use） - 需要看到“登录后”才能看到的页面 - 动态JS渲染的 ...

FreeBuf 网络安全日报 - 2026-03-24 自动生成于 2026-03-24 10:55 来源: FreeBuf网络安全行业门户 🔥 今日热门 1. AI入侵AI：2小时取得完全读写权限 分类: Web安全 作者: 彼德研究院 摘要: AI攻击智能体两小时攻破麦肯锡聊天机器人，获取4万员工机密数据，暴露AI系统安全风险。 链接: https://www.freebuf.com/articles/web/474646.html 2. MITRE ATLAS 深度拆解：AI Agent 时代的威胁矩阵与防御闭环 分类: AI安全 作者: 我不是二蛋 摘要: AI技术的全面渗透也以前所未有的速度解构了传统的网络安全防线。 链接: https://www.freebuf.com/articles/ai-security/474531.html 3. 实测Claude Code Security找漏洞 分类: 工具测试 作者: 转载情报员 摘要: Claude两周扫完Firefox，挖出22个高危漏洞。 链接: ...

FreeBuf 网络安全日报 - 2026-03-23 自动生成于 2026-03-23 10:03 来源: FreeBuf网络安全行业门户 🔥 今日热门 1. 威胁组织依靠iOS漏洞利用套件窃取敏感数据；TelusDigital遭入侵数据恐泄露 分类: 资讯 作者: AI小蜜蜂 摘要: FreeBuf早报 | DarkSword利用6个iOS漏洞（含3个0day）完全控制设备窃密，攻击乌克兰等多国用户 链接: https://www.freebuf.com/news/474309.html 2. 新型iOS漏洞利用工具DarkSword窃取用户数据；自动化漏洞检测初创公司Xbow获2000万美元融资 分类: 资讯 作者: AI小蜜蜂 摘要: FreeBuf早报 | DarkSword六漏洞串联攻破iOS，窃取四国用户敏感数据 链接: https://www.freebuf.com/news/474165.html 3. ClickFix攻击升级，利用ChatGPT实现模块化攻击；英伟达发布"安全版龙虾"Ne ...