你装的AI插件,可能是特洛伊木马

你有没有给自己的AI助手装过插件？

加个搜索功能，装个代码助手，来个自动化工具——就像给手机装App一样自然。

但如果我告诉你，你装的那个插件里，可能藏着偷你数据的脚本呢？

这不是假设。这是刚刚发生的事。

2026年1月末到2月中旬，多家安全机构几乎同时拉响警报。

Koi Security、Cisco、Snyk、慢雾安全团队、VirusTotal——这些名字你可能不熟，但它们是网络安全领域的重量级玩家。

它们发现的问题指向同一个地方：OpenClaw的官方插件市场ClawHub。

OpenClaw是目前最火的开源AI Agent工具之一，可以理解为一个”AI管家”，能帮你执行各种任务。ClawHub就是它的”应用商店”，用户可以像装手机App一样，给AI管家安装各种技能。

问题是，这个应用商店被人下毒了。

Koi Security扫描了2857个技能包，识别出341个恶意技能。Awesome Agents的数据更吓人：1184个恶意技能被注入，占总数的36.8%。

你没看错——超过三分之一的插件有问题。

手法并不高深，但极其有效。

攻击者注册成ClawHub的开发者，然后批量上传伪装成合法工具的恶意技能包。这些包的名字看起来很正常——加密交易机器人、YouTube视频总结器、钱包追踪器、甚至一个叫”What Would Elon Do”的趣味工具。

其中”What Would Elon Do”这个包最典型：包含9个漏洞，其中2个是严重级别，还通过4000次假下载刷量，让它看起来很受欢迎。

慢雾安全团队分析了400多个恶意样本，发现攻击呈团伙化、批量化特征。12个账户参与投毒，其中单一攻击者就上传了677个恶意包。

恶意代码的套路是经典的”两段式加载”：第一阶段混淆代码，看起来人畜无害；第二阶段从远程服务器下载真正的恶意载荷——窃取API密钥、读取配置文件、上传敏感数据。

更要命的是，OpenClaw本身拥有系统级操作权限——它能执行shell命令、操作文件、发起网络请求。一旦恶意插件被安装，攻击者等于拿到了你电脑的管理员权限。

插件投毒只是问题的一半。

安全研究人员还发现，全球公网暴露的OpenClaw实例超过4万个。其中近60%未启用认证，30%仍在使用存在已知漏洞的旧版本。

什么意思？这些实例就像没上锁的保险箱，挂在互联网上，任何人都能打开。

仅2026年1月29日一天，全球就有超过15000台OpenClaw设备处于”裸奔”状态，中国地区以2990台暴露资产位列全球第一。

再加上CVE-2026-25253这个高危漏洞——一键远程代码执行，攻击者可以远程控制你的OpenClaw实例，进而控制你的电脑。

插件投毒+裸奔实例+远程代码执行漏洞，三重暴击。

被安全研究员”骑脸输出”之后，OpenClaw终于坐不住了。

2月6日，OpenClaw宣布正式集成Alphabet旗下的VirusTotal威胁情报平台。这是AI Agent领域第一次引入专业级安全扫描。

现在ClawHub上的每个技能包在安装前都会经过VirusTotal的扫描。如果被标记为可疑，安装时会弹出警告（我们自己装插件时就遇到过——wechat-publisher被标记为可疑，需要加--force才能安装）。

同时，OpenClaw团队加班加点推进代码签名、安全审计、自动化模组审核。

亡羊补牢，但至少在补了。

往包管理器里塞恶意代码，npm和PyPI社区早就玩烂了。ClawHub的投毒本质上是同一套路，只是披了个”AI Agent”的外衣。

但AI Agent让这件事变得更危险，原因有三：

第一，权限更大。npm包最多搞搞你的Node.js环境，但AI Agent有系统级权限——读文件、执行命令、访问网络，一个恶意插件就能接管整台电脑。

第二，信任更高。用户对AI助手有天然的信任感——”它是帮我干活的”。这种信任让人放松警惕，装插件时不会像装软件那样仔细审查。

第三，攻击面更广。AI Agent连接着你的邮箱、日历、代码仓库、云服务……一旦被攻破，泄露的不是一个密码，而是你的整个数字生活。

这件事对我们这些用AI工具的人来说，有几个实操建议：

第一，装插件前先查一查。不要看到名字好听就装。去看看开发者是谁、有没有源码、社区评价如何。如果一个插件下载量很高但没有任何讨论，可能是刷的。

第二，开启认证，别裸奔。如果你在服务器上跑OpenClaw或任何AI Agent，务必开启认证、限制端口访问。60%的实例没开认证——别做那60%。

第三，定期更新。30%的实例在用有漏洞的旧版本。更新不是可选项，是必须的。

第四，最小权限原则。AI Agent不需要的权限，别给。它只需要读文件？那就别给它执行命令的权限。权限越大，风险越大。

第五，备份你的数据。万一真的中招了，至少你的数据还在。一人公司没有IT部门帮你恢复，备份就是你的最后一道防线。

AI Agent时代，能力越强，攻击面越大。

ClawHub的投毒事件不是终点，而是开始。随着AI工具越来越普及，这类攻击只会越来越多、越来越精巧。

你的AI管家很能干，但别忘了检查一下——它口袋里，有没有别人塞进去的东西。

感谢你的阅读和陪伴，每一次点击都是与我的”数字交互”。愿你在现实世界里，也能被温柔感知，收获富足与安康。下期见。