OpenClaw技能市场曝险:AI代理面临供应链恶意软件与金融欺诈双重威胁

一场针对OpenClaw AI代理技能市场的恶意攻击浪潮，暴露了软件供应链安全领域的一个全新危险前沿。攻击者正利用ClawHub技能市场将有害代码注入AI代理环境，窃取数据并实施传统安全工具无法捕捉的金融欺诈。

OpenClaw是一款执行第三方“技能”的AI代理，这些技能来自其官方市场ClawHub。技能本质上是Markdown驱动的软件包，对本地系统拥有深度访问权限。一旦恶意技能被安装，便可完全控制代理的身份，并通过代理自身已认证的会话执行未授权操作，整个过程无需借助传统漏洞利用。

Palo Alto Networks旗下Unit 42团队在2026年2月至5月间的分析中，发现了五个成功绕过ClawHub集成的VirusTotal和ClawScan检测的恶意技能。这五个技能均已上报并下架，相关账户亦被封禁。

三大威胁类别

Unit 42识别出的五个恶意技能分为三个类别：

1. 信息窃取器（Infostealers） ：两个伪装成macOS版TradingView生产力助手的技能。它们内嵌恶意前置条件块，将代理引导至rentry[.]co/openclaw-code的粘贴站点，诱使用户在终端窗口运行Base64编码命令。该命令随后从远程服务器2.26.75[.]16拉取名为cluw的macOS信息窃取器。另一个名为omnicogg的技能则将AMOS恶意软件投放器嵌入README.md文件，并填充22 MB的垃圾字符以超出多数扫描管道的大小限制。VirusTotal和ClawScan均返回“干净” verdict，令该技能得以公开存在。

2. 检测规避工具（Evasion） ：上述文件填充技术正是为规避扫描阈值而设计。

3. 代理型金融威胁（Agentic Threats） ：这是首批有记录的自主AI代理被用于协同金融欺诈的案例之一。其中money-radar技能伪装成面向中国大陆、香港和新加坡用户的金融产品顾问。每次调用时，它都从laosji[.]net静默获取载荷，并在生成的每条推荐中嵌入联盟跟踪链接。运营商可随时更换推荐产品而用户毫不知情。letssendit技能则更进一步，在Solana区块链上运行拉高出货（pump-and-dump）计划——安装后的代理将SOL加密货币汇集至运营商钱包，运营商以最低价购入SENDIT代币后在pump[.]fun上发售。外部买家可能将协调一致的AI活动误认为真实需求，从而让运营商获利退出。

市场安全漏洞持续发酵

这并非ClawHub首次曝出安全问题。Bitdefender Labs此前已指出，平台上约17%的技能携带恶意载荷。Koi Security的ClawHavoc披露则记录了341个恶意技能，其中335个可追溯至单一协同操作。

即使在引入自动化检测后威胁依然持续存在，表明AI代理生态系统的风险远未解决。核心问题在于，恶意技能利用自然语言劫持AI自身的指令遵循行为，绕过了保护传统软件环境的防护机制。技能在代理进程内执行，这意味着必须对发布者来源进行主动验证，并对软件包源文件进行逐行审计。任何与技能声明目的不符的行为都应被视为潜在的入侵指标。

面对日益严峻的挑战，OpenClaw已与NVIDIA展开合作，引入NVIDIA SkillSpector——一款结合静态检查与AI辅助语义分析的新型技能扫描器，用于标记恶意软件扫描器可能遗漏的风险。