夜雨聆风
OpenClaw技能市场曝出多款恶意Skill,可控制AI Agent窃取用户数据
基于对全球AI安全事件的长期监测与实战分析,「勒索病毒头条」持续研判AI应用过程中的安全风险与攻击趋势,为政企单位提供专业的安全响应与防护支持。如遇相关安全事件,可扫描文末二维码获取专属支持。
6月23日,安全研究机构披露,OpenClaw旗下技能市场ClawHub出现多款恶意Skill。攻击者将恶意代码伪装成TradingView金融助手、通用工具等合法功能插件上传至skill应用市场,一旦用户安装,AI Agent便会在自身权限范围内执行恶意指令,造成数据窃取、恶意程序下载以及金融欺诈等风险。
伪装的技能包/图片来自cybersecuritynews
OpenClaw是一款支持第三方Skill扩展的AI Agent平台,其Skill本质上是一类以Markdown文件描述的能力模块,可调用本地文件、网络请求及终端等系统能力。研究人员发现,攻击者在Skill配置文件(SKILL.md)中嵌入恶意指令,引导Agent访问外部站点并下载恶意载荷,而整个过程无需利用传统漏洞。
技能被嵌入恶意前提模块/图片来自cybersecuritynews
这类攻击利用的是AI Agent的授权机制,而非系统漏洞。由于Skill通常具备文件访问、网络通信、工具调用以及上下文交互等权限,一旦安装恶意Skill,攻击者便可借助Agent已获得的合法权限执行操作,使恶意行为表现得更接近正常业务流程,也更难被安全产品识别。
研究机构统计,在2026年2月至5月期间,共发现五类恶意Skill,包括信息窃取、检测绕过、工具伪装、Agent会话劫持以及经济利益驱动的恶意功能等。
尽管平台已引入VirusTotal、ClawScan等自动检测机制,但部分恶意Skill仍成功绕过审核并上线,说明现有检测体系对于运行时触发的Agent攻击仍存在明显盲区。
目前,5款恶意Skill均已被下架。然而,事件暴露出的并非个别恶意Skill,而是AI Agent生态面临的新型供应链风险。
从此次事件来看,随着第三方Skill规模化接入,攻击者开始围绕Skill生态构建新的供应链攻击链条。
与传统软件供应链攻击不同,这类攻击并非依赖漏洞利用,而是借助“正常安装、合法调用”完成权限滥用。
对于企业而言,未来AI安全需要关注的不仅是模型本身,还包括Skill来源可信性、权限边界以及运行行为审计等供应链风险。那些看似“功能正常”的Skill,可能正成为AI Agent新的攻击入口。
消息来源:
https://www.darkreading.com/cyber-risk/malicious-openclaw-skills-clawhub-threaten-ai-supply-chain
相关阅读
1. AI聊天应用存在安全配置漏洞,致 40 万用户隐私信息、对话数据泄露
