夜雨聆风
AI 搜索推荐的软件,可能是恶意程序:OpenClaw 假安装包事件解析
随着各类 AI 工具快速走红,国内最近也掀起了一波龙虾(OpenClaw)下载热。不少用户通过搜索引擎寻找 AI 工具安装包、插件或整合版本,然后直接下载安装体验。
这种方式虽然方便,但也正在成为网络攻击者利用的新入口。
近期,微软 Bing 的 AI 增强搜索功能被发现曾推荐一批伪造的 OpenClaw Windows 安装程序。这些安装包托管在 GitHub 上,但实际上是恶意软件投递器,会在用户设备中部署信息窃取程序以及代理恶意软件。
这一案例也提醒用户:在 AI 工具流行的背景下,搜索下载正在成为新的安全风险点。
一次看似普通的下载
网络安全公司 Huntress 在分析一名客户设备时发现了这一攻击。
该用户此前在 Bing 搜索 “OpenClaw Windows”,并通过 AI 推荐链接下载了一个 GitHub 仓库中的安装程序。
进一步分析发现,这个仓库并非官方项目,而是攻击者创建的伪造仓库,属于一个名为 openclaw-installer 的 GitHub 组织。
攻击者通过伪装仓库名称和项目结构,使其看起来像是合法的 OpenClaw 安装包来源,从而诱导用户下载并运行恶意程序。
研究人员在报告中写道:
“分析显示,该用户通过 Bing 搜索 ‘OpenClaw Windows’,并被 AI 建议链接直接引导到一个新创建的恶意 GitHub 仓库。”
为什么是 OpenClaw
OpenClaw 是一款开源 AI 代理工具,可以充当自动化助手执行各种任务,例如:
-
访问本地文件
-
调用在线服务
-
与邮件或聊天应用交互
-
自动执行脚本任务
由于这类 AI 代理通常需要较高的系统权限,攻击者如果能够诱导用户安装被篡改的版本,就有机会获取大量敏感数据。
因此,威胁行为者不仅在 GitHub 发布伪造安装程序,还尝试通过恶意技能(instruction files)等方式,在 OpenClaw 生态中植入恶意代码。
恶意安装包里藏了什么
安全研究人员发现,这些假安装包包含多种恶意组件,并针对 macOS 和 Windows 设计了不同的攻击链。
macOS:Atomic Stealer
在 macOS 上,仓库提供的安装指南要求用户在终端执行一条 bash 命令。
该命令会连接到另一个 GitHub 组织 puppeteerrr 的仓库,并下载恶意组件。
这些组件通常以 Shell 脚本 + Mach-O 可执行文件的形式出现,被识别为 Atomic Stealer 信息窃取程序。
它主要用于窃取本地敏感数据,包括:
-
浏览器保存的账号和密码
-
Cookies
-
加密货币钱包数据
-
其他本地文件
随后,这些数据会被发送到攻击者控制的服务器。
Windows:
Rust 加载器 + 多种恶意载荷
针对 Windows 用户,攻击者提供了一个名为 OpenClaw_x64.exe 的安装程序。
该程序运行后会释放多个恶意组件,其中大多数是用 Rust 编写的恶意加载器(loader),其作用是在内存中加载并执行后续恶意程序,从而绕过部分安全检测。
研究人员在其中发现了两类主要载荷。
Vidar Stealer
其中一个载荷是 Vidar Stealer,一种常见的信息窃取程序。
它可以窃取:
-
浏览器账号密码
-
Cookies
-
加密货币钱包信息
-
本地系统数据
与很多传统恶意软件不同,Vidar 会通过 Telegram 和 Steam 用户资料获取动态命令控制(C2)地址,使其攻击基础设施更难被封锁。
GhostSocks
另一类恶意程序是 GhostSocks。
GhostSocks 是一种 反向连接代理工具(backconnect proxy malware),会将受害者电脑变成攻击者的代理节点。
这意味着攻击者可以:
-
通过受害者 IP 转发恶意流量
-
使用被盗凭证从“住宅 IP”登录账户
-
绕过部分反欺诈检测
-
将受害者设备作为攻击跳板
换句话说,受感染的电脑不仅可能被窃取数据,还可能被用于进一步攻击。
为什么攻击能够成功
研究人员认为,这次攻击之所以有效,主要有三个原因。
1 GitHub 的信任机制
恶意软件托管在 GitHub 上,而开发者普遍信任这一平台。
OpenClaw 在 GitHub 上拥有大量派生项目(fork),因此用户看到类似仓库时更容易认为其合法。
攻击者还使用了看似官方的组织名称 openclaw-installer,进一步增强了可信度。
2 AI 搜索的“权威效应”
Bing 的 AI 搜索建议直接将这些仓库作为推荐下载来源。
研究人员指出:
“仅仅把恶意软件托管在 GitHub 上,就足以影响 Bing 的 AI 搜索结果排序。”
换句话说,攻击者只需利用平台信任机制,就可能让恶意仓库出现在 AI 推荐结果中。
3 伪装真实开源代码
为了提高可信度,攻击者还从 Cloudflare 的 moltworker 项目复制了大量真实代码。
因此仓库整体看起来像是合法开源项目,而真正的恶意程序则隐藏在 Releases 下载包中。
其中一个文件 cloudvideo.exe 就被识别为 Vidar 信息窃取程序。
AI 工具越火,这类攻击越多
安全研究人员表示,这类攻击在 AI 工具爆红之后明显增多。
原因很简单:热门工具意味着巨大的搜索流量。
只要攻击者能够影响搜索结果,就可能把恶意软件下载推送给大量用户。
这与很多用户熟悉的一种使用习惯密切相关:许多人习惯通过搜索引擎寻找软件安装包,然后直接下载。
这种 “搜索 → 下载 → 安装” 的路径,如果没有验证来源,很容易被攻击者利用。
AI 搜索时代的新安全问题
这次事件实际上揭示了一个新的安全挑战:
AI 搜索正在成为新的软件分发入口。
过去,用户下载软件通常会:
-
访问官方网站
-
或进入官方代码仓库
但现在越来越多的人直接依赖 AI 推荐结果。
如果攻击者能够操纵这些结果,风险就会迅速放大。
在安全研究人员看来,这类攻击未来可能会越来越常见。
如何避免类似风险
安全专家建议用户采取一些基本防护措施:
第一:只从官方渠道下载软件。尽量访问软件官网或官方仓库,而不是通过搜索结果下载。
第二:警惕需要执行命令的安装步骤。如果安装说明要求复制命令到终端执行,需要格外谨慎。
第三:限制 AI 工具权限。建议在隔离环境中运行,例如虚拟机或容器。
第四:避免为 AI 工具配置高权限账号。尤其是开发者平台或云服务凭证。
相关阅读
AI参与安全审计:Claude两周发现22个Firefox漏洞、14个高危
Anthropic 发布 Claude Code Security,引发网络安全股抛售:AI 正在重写漏洞发现的价值逻辑
