OpenClaw AI 生態系統遭遇重大安全威脅。區塊鏈安全公司 SlowMist 在 ClawHub(OpenClaw 的插件市場)中發現了一起大規模供應鏈攻擊。該問題源於 Koi Security 對 2857 個技能的掃描,並將其中 341 個標記為惡意技能。
SlowMist 報告稱 OpenClaw 的 ClawHub 插件中心存在供應鏈汙染問題。審核機制薄弱導致大量惡意插件得以滲透並傳播有害代碼。Koi Security 掃描了 2857 個插件,識別出 341 個惡意插件。SlowMist 分析了 400 多個入侵指標 (IOC),揭示了有組織的批量攻擊…… pic.twitter.com/5Kwho8aXMQ
— 吳說 (@WuBlockchain) 2026年2月9日
這意味著約有 12% 的掃描插件攜帶有害代碼。這一發現引發了人們的擔憂,因為 OpenClaw 近幾個月來發展迅速。其開源代理工具吸引了眾多開發者。這也使得該平臺更容易成為攻擊者的目標。
薄弱的評價機制讓惡意技能有機可乘。
這次攻擊之所以得逞,是因為插件商店的審核機制存在漏洞。黑客上傳了一些表面上看起來很正常的插件,但其內部代碼卻隱藏著指令。SlowMist 指出,許多此類插件都採用了兩階段攻擊。首先,插件中包含混淆的命令,這些命令通常偽裝成正常的安裝或依賴步驟,但實際上卻暗中解碼了隱藏的腳本。
隨後,第二階段下載真正的惡意載荷。該代碼從固定域名或IP地址提取數據。之後,它會在受害者的系統上執行惡意軟件。例如,一個名為“X(Twitter)趨勢”的技能,看起來無害且實用。然而,它隱藏了一個Base64編碼的後門。該代碼可以竊取密碼、收集文件並將其發送到遠程服務器。
發現數百個惡意插件
此次攻擊的規模令許多分析師感到震驚。在掃描的 2857 個插件中,有 341 個顯示出惡意行為。Koi Security 將其中大部分與一次大型攻擊活動聯繫起來。SlowMist 也分析了 400 多個入侵指標。數據顯示存在有組織的批量上傳行為。許多插件使用了相同的域名和基礎設施。
對於使用這些技能的用戶來說,風險非常嚴重。一些插件會請求 shell 訪問權限或文件權限,這使得惡意軟件有機會竊取憑據、文檔和 API 密鑰。一些虛假技能甚至模仿加密工具、YouTube 實用程序或自動化助手。這些熟悉的名稱使得它們更容易被安裝而不引起懷疑。
安保公司敦促保持警惕
安全研究人員已開始清理工作。SlowMist 在早期掃描中報告了數百個可疑項目。與此同時,Koi Security 發佈了一款針對 OpenClaw 技能的免費掃描器。專家警告用戶避免盲目運行插件命令。許多攻擊都源於技能文件中簡單的設置步驟。用戶還應避免使用那些要求提供密碼或廣泛系統訪問權限的技能。
開發者也被敦促在隔離環境中測試插件。獨立掃描和官方來源應是第一道防線。此次事件揭示了快速發展的AI生態系統中存在的風險。插件市場通常發展迅速,但安全檢查可能滯後。隨著AI代理能力的增強,這些平臺需要更強大的審核系統。在此之前,用戶可能需要將每個插件都視為潛在威脅。
