夜雨聆风
OpenClaw插件市场遭遇大规模“投毒”:你的AI助手可能正在出卖你
近日,备受瞩目的AI智能体框架OpenClaw,其官方技能市场ClawHub遭遇了大规模的“投毒”攻击。这不仅是一次简单的漏洞曝光,而是一场有组织、批量化的供应链入侵。攻击者利用ClawHub宽松的发布机制,将恶意代码伪装成实用工具,潜伏在无数开发者和普通用户的设备中,随时准备窃取核心数据。
1. 官方市场沦陷:数千插件暗藏杀机
这次攻击的规模令人咋舌。根据安全团队的统计,在ClawHub这个官方“应用商店”中,竟然发现了数百个恶意技能包。这些恶意软件由少数几个攻击者账号批量上传,伪装成加密货币交易机器人、PDF总结工具、社交媒体辅助等高频刚需工具。
由于ClawHub允许任意用户注册发布内容,且缺乏严格的代码审查机制,攻击者得以利用“社会工程学”手段,绕过技术检测,让用户“心甘情愿”地执行恶意操作。
2. 拆解:黑客是如何“钓鱼”的?
与传统病毒直接利用系统漏洞不同,这次攻击的核心在于“信任”。黑客利用了用户对官方市场的信任以及AI代理的执行逻辑,设计了极其隐蔽的攻击链。
伪装成“安装指南”的毒药 最具代表性的攻击活动代号为“ClawHavoc”。攻击者上传的插件文档(SKILL.md)看似正规,但在“前置条件”或“安装步骤”中,隐藏着致命的诱导信息。 你可能会看到这样的提示:“该功能需要安装辅助组件,请在终端运行以下命令……”随后是一串看似无害的curl | bash命令,或者是需要解压的ZIP包。 一旦你复制粘贴并执行,实际上就在自己的电脑上种下了名为“Atomic Stealer”的窃密木马。对于Mac用户,它会盗取钥匙串、浏览器保存的密码;对于Windows用户,则可能面临键盘记录和远程控制的风险。
“无接触”攻击:ClawJacked
更可怕的是,有些攻击甚至不需要你安装任何插件。代号为“ClawJacked”的攻击利用了Web技术的特性,只要你访问了恶意网站,该网站就可能暴力破解本地WebSocket连接密码,突破localhost(本地回环)的隔离限制。这意味着,黑客可以在你毫无察觉的情况下,远程控制你的AI代理,甚至接管你的整个系统。
3. 你的数字资产正在裸奔
一旦中招,后果不堪设想。这些恶意技能不仅会窃取你的个人隐私,更是冲着“硬通货”去的。
● 加密货币钱包:私钥、助记词被一扫而空,资产瞬间归零。
● 身份凭证:SSH密钥、API密钥、.env配置文件被盗,不仅个人账户受损,如果这些凭证关联了企业云服务,还可能引发更大范围的内网渗透。
● AI身份接管:攻击者甚至会窃取AI代理的记忆文件(memory.md),这意味着你的AI助手的“记忆”和“人格”可能被黑客完全复制和控制,用于进一步的诈骗或攻击。
4. OpenClaw的危机与AI行业的警钟
这次事件不仅仅是技术层面的攻防,更引发了行业层面的震动。OpenClaw作为一个允许AI自主调用工具、执行代码的框架,其“主动自动化”的能力是一把双刃剑。当权限失控时,它就成了黑客的最佳帮凶。
目前,OpenClaw社区已开始紧急清理恶意插件,并加强审核规则。但这场风波也引发了关于开源与安全的激烈辩论:是应该为了便利开放生态,还是为了安全收紧控制?谷歌、Anthropic等巨头已相继采取行动,限制或切断与OpenClaw的集成,这背后既是商业博弈,也是对安全风险的规避。
5. 给你的安全建议
在这个AI野蛮生长的时代,作为使用者,我们不能完全依赖平台的审核。为了保护你的数字资产,请务必遵循以下原则:
● 对终端命令保持绝对警惕:任何插件文档中要求你手动复制粘贴执行的命令(尤其是curl、wget、bash等),都应视为高危信号。合法的插件绝不应该要求用户手动执行复杂的终端指令来“修复环境”。
● 严格管控第三方插件:优先使用官方内置或经过安全认证的技能。如果必须使用第三方插件,请务必人工审计其代码逻辑,检查是否存在异常的网络请求或敏感文件读取操作。
● 隔离运行环境:建议在虚拟机或非生产环境中运行AI代理,避免给予其访问核心业务数据和高权限API的密钥。
AI技术的浪潮中,便利与风险并存。在享受智能体带来的效率提升时,请务必给你的数字大门上好锁。
往期推荐:
刚刚!GPT-5.4 炸场发布:AI 首次获得“原生操控电脑”能力
加入AI未来派社群:一起玩openclaw,群内定时分享AI前沿技术和行业动态PDF报告,分享智能体干货技术。
