插件市场模式有一个诱人的宣传:安装你需要的,跳过你不需要的,贡献你自己的。它在浏览器、VS Code、WordPress 上都成功了。将同样的模式应用到 AI agent 上似乎顺理成章。然后 ClawHub 出事了——41.7% 的已发布 skill 包含漏洞,数百个是彻头彻尾的恶意软件,整个信任模型在一个无人能审计的供应链重压下崩塌了。
NanoClaw 审视了这次失败,提出了一个不同的问题:如果可扩展性根本不需要市场呢?如果给你的 AI 助手添加新功能就像告诉 Claude Code 你想要什么,然后让它直接修改源码一样简单呢?
这就是 Claude Code skills 模型。事实证明,它比任何插件系统都更简单、更安全。
Skills 实际如何运作
一个 Claude Code skill 是一个斜杠命令——比如 /add-telegram 或 /add-discord——你在 Claude Code 会话中运行它。当你调用一个 skill 时,Claude Code 读取 NanoClaw 的源码,理解现有架构,然后将新的集成直接写入代码库。它不是从注册表安装包,不是从互联网下载代码,而是生成适合你特定 NanoClaw 实例的代码,由你在运行前审查。
例如,/add-telegram skill 不会安装一个 Telegram npm 包然后通过插件接口连接。它在 NanoClaw 的消息循环中添加一个 Telegram bot 监听器,使用 node-telegram-bot-api 库,采用与 WhatsApp 已经使用的相同的容器隔离和安全模型。生成的代码遵循与现有代码库相同的模式,因为 Claude Code 能看到现有代码库并匹配其风格。
这与插件系统有三个根本区别。第一,代码是可见的。你可以阅读添加的每一行,理解它做什么,如果你想的话可以修改它。没有编译后的二进制文件,没有压缩的 bundle,没有你盲目信任的不透明包。第二,代码是本地的。它存在于你的仓库中,在你的版本控制下,受你的审查流程约束。它不会回传数据,不会自动更新,不会在你不知情的情况下改变行为。第三,代码是集成的。它不是在一个有限 API 的独立插件沙箱中运行——它是应用的一部分,完全可以使用代码库其余部分使用的模式和工具。
为什么这比插件更安全
安全论点很直接,但值得详细说明,因为它与大多数开发者的预期恰恰相反。
在插件系统中,安全依赖于信任。你信任插件作者,信任市场的审查流程,信任包自审查以来没有被篡改,还信任它的依赖也没有被篡改。这些信任假设中的每一个都是潜在的失败点,而 ClawHub 证明了它们可以同时全部失败。
在 skills 模型中,安全依赖于可见性。当 Claude Code 生成一个 Telegram 集成时,你可以在运行前看到它到底做了什么。你可以审查代码、测试它、修改它或完全拒绝它。信任边界不是"我是否信任这个未知开发者的 npm 包?"——而是"这段我能读懂的代码是否做了我想让它做的事?"
而且没有可以攻击的供应链。恶意行为者无法向市场上传木马化的 skill,因为根本没有市场。他们无法通过拼写相近的包名来冒充热门包,因为根本没有包。使数百个恶意 ClawHub skill 成为可能的攻击面在这个模型中根本不存在。
代价是 skills 需要 Claude Code 来生成,这意味着你需要一个 Anthropic API 密钥和一个 Claude Code 会话。你不能浏览目录然后点击"安装"。但对于一个用户群体是熟悉 CLI 的开发者的项目来说,这个代价几乎可以忽略——而安全收益是实质性的。 ## 目前已有的 Skills
NanoClaw 内置了 WhatsApp。其他一切都通过 skills 添加。当前的 skill 集覆盖了最常被请求的集成:/add-telegram 用于 Telegram bot 支持,/add-discord 用于 Discord 网关集成,/add-slack 用于 Slack Events API,/add-signal 用于 Signal 消息。
每个 skill 生成大约 100-300 行代码,取决于频道 API 的复杂度。生成的代码包括频道监听器、消息格式化、容器路由和配置——集成端到端工作所需的一切。它还包括环境变量声明和设置说明,让你清楚知道需要提供哪些令牌和凭证。
除了频道集成,skills 还可以添加工具和能力。一个 /add-web-search skill 可以添加 agent 在容器内使用的网页搜索工具。一个 /add-calendar skill 可以集成 Google Calendar 用于日程安排。模式是一样的:Claude Code 读取代码库,理解架构,然后生成适配的代码。
Fork 友好的哲学
skills 模型背后有一个更深层的哲学值得阐述。NanoClaw 被设计为可以 fork 的。不是敌意的"拿走代码去竞争"——而是协作的"拿走代码让它成为你自己的"。
当你运行 /add-telegram 时,你不是在安装一个将你绑定到 NanoClaw 发布周期的依赖。你是在向你的 fork 添加你完全拥有的代码。如果 NanoClaw 的上游以你不喜欢的方式变化,你的 Telegram 集成仍然能用。如果你想修改 Telegram 消息的格式化方式,你直接编辑代码——没有插件 API 的限制,不需要等上游暴露新的钩子。
这与插件市场制造的平台锁定恰恰相反。WordPress 插件把你绑定在 WordPress 上。VS Code 扩展把你绑定在 VS Code 上。ClawHub skills 把你绑定在 OpenClaw 上。NanoClaw skills 生成的是普通的 TypeScript,恰好与 NanoClaw 的架构配合工作,但不依赖任何插件运行时或市场基础设施。
结果是一个随时间推移变得更强大的项目——不是因为市场在增长,而是因为每个用户的 fork 积累了恰好他们需要的能力,由一个足够理解代码库从而能正确扩展它的 AI 生成。这是通过理解实现的可扩展性,而非通过抽象。