【��实践】OpenClaw安全翻车实录:恶意Skill、提示词注入全家中招

⚠️ 真实案例：ClawHub”恶意Skill登顶”供应链攻击（2026年3月）

安全研究人员发现：ClawHub有一个漏洞，允许攻击者随意虚增Skill的下载量。一个伪装成”Outlook日历集成”的恶意Skill，被刷到搜索榜首，六天内全球50个城市执行了3900次，最终窃取了用户名和域名信息。

中招的用户，完全不知道自己下载的Skill是木马。

📝 攻击路径拆解：Skill投毒是怎么工作的？

第一步：伪装上架——攻击者在ClawHub发布一个仿冒知名Skill的同名包，或者把恶意代码藏在合法Skill的依赖里。用户搜索”PDF转换”排名第一的就是它。

第二步：你安装——你看到”官方认证”、”下载量第一”，顺手点了安装。Skill获得了文件读写、执行命令的权限。

第三步：静默激活——Skill安装后，恶意代码开始工作：扫描你的环境变量，窃取API密钥、本地文件，甚至在后台植入持久化进程。

第四步：数据外传——你的密钥、文件内容、对话记录，悄悄打包发送到攻击者服务器。整个过程没有任何弹窗、没有任何提示。

📝 攻击路径拆解：提示词注入是怎么工作的？

原理——OpenClaw有”读取网页”的能力。攻击者在一个网页里埋入看不见的恶意指令，当你让OpenClaw读取这个页面，指令就会被执行。

举例——你在某论坛看到一篇好文章，让OpenClaw”帮我总结一下”。但这篇文章的源代码里，藏着一段这样的文字：

⚠️ 2026年OpenClaw高危漏洞清单

CVE-2026-25253 ClawJacked 零点击劫持 → 评分9.8（满分10）→ 恶意网页JS通过WebSocket直接接管，窃取密钥执行任意命令

CVE-2026-30891 网关认证绕过 → 评分9.1 → 公网暴露实例无密码直接访问，删库、植入后门

CVE-2026-CLAW-001 命令注入漏洞 → 评分8.8 → exec模块未转义特殊字符，构造恶意参数执行系统命令

CVE-2026-1847 ClawHub技能沙箱绕过 → 评分8.2 → 绕过沙箱读取环境变量，窃取API密钥

GHSA-7jm2-g593-4qrc 网关配置篡改 → 模型可通过提示词注入持久篡改安全配置

GHSA-qrp5-gfw2-gxv4 工具策略绕过 → 捆绑工具可绕过管理员设置的拒绝列表

✅ 好消息：以上漏洞均已在最新版本（v2026.4.20+）中修复

🎉 第一步：查版本——升级到最新

命令：openclaw –version

如果版本低于 v2026.4.20，立即升级：openclaw update

低于这个版本的OpenClaw，存在已知的高危漏洞，攻击者可以零点击接管你的实例。

🎉 第二步：查外网暴露——关掉公网监听

打开配置文件（通常在~/.openclaw/config.yaml），检查：

🎉 第三步：查Skill来源——审计已安装的插件

命令：openclaw skills list

检查每个Skill的来源：

✅ 来自官方ClawHub且有数字签名的——相对安全

✅ 来自可信开源社区（如GitHub Verified）——可接受

❌ 来源不明、没有出处的——立即卸载

❌ 安装时间在2026年3月之前的——建议重新审视（当时漏洞最密集）

🎉 第四步：查环境变量——看有没有被偷窥

命令（在OpenClaw的shell里执行）：

🎉 第五步：查进程——看有没有”不速之客”

命令：ps aux | grep openclaw

正常应该只有openclaw主进程。如果发现陌生的子进程，尤其是名字很怪的（比如随机字符串），需要警惕。

⚠️ 最后说一个反直觉的事实

OpenClaw被”官方点名”，不等于它不能用了。

2026年以来，OpenClaw团队已经修复了80+漏洞，速度算是不错的。任何活跃的开源项目都会经历这个阶段——漏洞被发现、被披露、被修复。

真正危险的是：

① 不知道自己有漏洞，一直用老版本

② 装了恶意Skill不自知，还给它很高的权限

③ 公网裸奔，不设密码

把这5分钟自查做完，该升级升级，该卸载卸载，该改配置改配置——你的OpenClaw就能继续安全使用。