OpenClaw AI 生态系统遭遇重大安全威胁。区块链安全公司 SlowMist 在 ClawHub(OpenClaw 的插件市场)中发现了一起大规模供应链攻击。该问题源于 Koi Security 对 2857 个技能的扫描,并将其中 341 个标记为恶意技能。
SlowMist 报告称 OpenClaw 的 ClawHub 插件中心存在供应链污染问题。审核机制薄弱导致大量恶意插件得以渗透并传播有害代码。Koi Security 扫描了 2857 个插件,识别出 341 个恶意插件。SlowMist 分析了 400 多个入侵指标 (IOC),揭示了有组织的批量攻击…… pic.twitter.com/5Kwho8aXMQ
— 吴说 (@WuBlockchain) 2026年2月9日
这意味着约有 12% 的扫描插件携带有害代码。这一发现引发了人们的担忧,因为 OpenClaw 近几个月来发展迅速。其开源代理工具吸引了众多开发者。这也使得该平台更容易成为攻击者的目标。
薄弱的评价机制让恶意技能有机可乘。
这次攻击之所以得逞,是因为插件商店的审核机制存在漏洞。黑客上传了一些表面上看起来很正常的插件,但其内部代码却隐藏着指令。SlowMist 指出,许多此类插件都采用了两阶段攻击。首先,插件中包含混淆的命令,这些命令通常伪装成正常的安装或依赖步骤,但实际上却暗中解码了隐藏的脚本。
随后,第二阶段下载真正的恶意载荷。该代码从固定域名或IP地址提取数据。之后,它会在受害者的系统上执行恶意软件。例如,一个名为“X(Twitter)趋势”的技能,看起来无害且实用。然而,它隐藏了一个Base64编码的后门。该代码可以窃取密码、收集文件并将其发送到远程服务器。
发现数百个恶意插件
此次攻击的规模令许多分析师感到震惊。在扫描的 2857 个插件中,有 341 个显示出恶意行为。Koi Security 将其中大部分与一次大型攻击活动联系起来。SlowMist 也分析了 400 多个入侵指标。数据显示存在有组织的批量上传行为。许多插件使用了相同的域名和基础设施。
对于使用这些技能的用户来说,风险非常严重。一些插件会请求 shell 访问权限或文件权限,这使得恶意软件有机会窃取凭据、文档和 API 密钥。一些虚假技能甚至模仿加密工具、YouTube 实用程序或自动化助手。这些熟悉的名称使得它们更容易被安装而不引起怀疑。
安保公司敦促保持警惕
安全研究人员已开始清理工作。SlowMist 在早期扫描中报告了数百个可疑项目。与此同时,Koi Security 发布了一款针对 OpenClaw 技能的免费扫描器。专家警告用户避免盲目运行插件命令。许多攻击都源于技能文件中简单的设置步骤。用户还应避免使用那些要求提供密码或广泛系统访问权限的技能。
开发者也被敦促在隔离环境中测试插件。独立扫描和官方来源应是第一道防线。此次事件揭示了快速发展的AI生态系统中存在的风险。插件市场通常发展迅速,但安全检查可能滞后。随着AI代理能力的增强,这些平台需要更强大的审核系统。在此之前,用户可能需要将每个插件都视为潜在威胁。
