下载的AI技能可能是木马:OpenClaw供应链攻击全解析,17%插件带恶意负载


⚠️一个伪装成TradingView助手的AI技能,在用户安装后,静默从远程服务器拉取macOS信息窃取程序,盗取系统凭证和加密货币密钥。
另一个自称“金融产品顾问”的技能,每次调用时都会在推荐中嵌入隐蔽的联盟跟踪链接,操作者可随时更换推荐产品,用户毫不知情。
还有一个技能更直接——让AI Agent将加密货币汇集到攻击者钱包,在Solana区块链上实施“拉高出货”计划,外部买家误将协调的AI活动当作有机需求。
这不是科幻小说,而是Unit 42研究人员在2026年2月至5月期间,对OpenClaw AI Agent技能市场(ClawHub)进行安全分析时发现的真实案例。他们发现的5个绕过VirusTotal和ClawScan检测的恶意技能,分属信息窃取、检测规避、金融欺诈三类威胁。
更令人警惕的是,此前Bitdefender Labs曾指出,平台上约17%的技能携带恶意负载;Koi Security的ClawHavoc披露文件记录了市场上341个恶意技能。AI Agent供应链安全,正在成为企业安全的新盲区。
⚠️一个伪装成TradingView助手的AI技能,在用户安装后,静默从远程服务器拉取macOS信息窃取程序,盗取系统凭证和加密货币密钥。
另一个自称“金融产品顾问”的技能,每次调用时都会在推荐中嵌入隐蔽的联盟跟踪链接,操作者可随时更换推荐产品,用户毫不知情。
还有一个技能更直接——让AI Agent将加密货币汇集到攻击者钱包,在Solana区块链上实施“拉高出货”计划,外部买家误将协调的AI活动当作有机需求。
这不是科幻小说,而是Unit 42研究人员在2026年2月至5月期间,对OpenClaw AI Agent技能市场(ClawHub)进行安全分析时发现的真实案例。他们发现的5个绕过VirusTotal和ClawScan检测的恶意技能,分属信息窃取、检测规避、金融欺诈三类威胁。
更令人警惕的是,此前Bitdefender Labs曾指出,平台上约17%的技能携带恶意负载;Koi Security的ClawHavoc披露文件记录了市场上341个恶意技能。AI Agent供应链安全,正在成为企业安全的新盲区。
一、AI Agent技能市场的信任危机
OpenClaw是一种运行来自ClawHub专用市场第三方技能的AI Agent。这些技能是基于Markdown的软件包,具有对本地系统的深度访问权限。当安装恶意技能时,它可以完全控制Agent的身份,并通过Agent自身已验证的会话执行未经授权的操作,整个过程无需传统漏洞利用。
这一威胁的核心问题在于:AI Agent的技能生态天然存在信任边界模糊的问题。与传统软件包不同,技能是通过自然语言指令驱动Agent执行操作的,攻击者可以利用AI的指令遵循特性,通过精心设计的Markdown文档实现恶意行为,绕过传统安全工具的检测。
Unit 42研究人员指出,这种攻击范式与传统软件供应链攻击有本质区别:“传统恶意软件往往受到语言运行时或容器的限制,而恶意技能则通过语义指令劫持来绕过技术约束。通过滥用AI的自然语言解释能力,恶意技能可以无需传统漏洞利用即可完成攻击。”

二、恶意技能实战解剖
2.1 信息窃取:伪装成TradingView助手的macOS木马
Unit 42发现的其中两个威胁,是伪装成macOS版TradingView生产力助手的技能。两者都嵌入了恶意前置条件块,指示Agent访问rentry[.]co/openclaw-code上的粘贴站点重定向诱饵,其中包含等待在终端窗口中运行的Base64编码命令。
该命令随后从IP地址为2.26.75[.]16的远程服务器拉取名为cluw的macOS信息窃取程序。这个C2服务器与早期ClawHavoc活动中使用的AMOS C2服务器(91.92.242[.]30)不同,表明攻击者正在更新基础设施,以规避基于已知IOC的检测。
2.2 检测规避:22MB垃圾字符填出的“干净”判定
另一个名为omnicogg的技能,将AMOS恶意软件投放器嵌入README.md文件中,然后用22MB的垃圾字符填充,以超过大多数扫描管道强制执行的文件大小限制。
结果显示,VirusTotal和ClawScan都返回了“干净”的判定,意味着该技能在隐藏活动恶意代码的同时仍可自由获取。Unit 42指出,这种规避技术之所以有效,是因为“许多扫描管道会跳过异常大的文件而不是处理它们”。
2.3 Agentic金融欺诈:当AI成为“拉高出货”的工具
除了数据窃取,研究人员还发现了两个滥用AI Agent咨询权限谋取经济利益的技能。
money-radar技能伪装成面向中国大陆、香港和新加坡用户的金融产品顾问。每次调用时,它会静默从laosji[.]net获取有效负载,并在生成的每条推荐中嵌入联盟跟踪链接。操作者可以在用户不知情的情况下随时更换推荐产品。
letssendit技能则更进一步——在Solana区块链上实施“拉高出货”计划。安装的Agent将SOL加密货币汇集到操作者的钱包中,随后操作者以最低可用价格购买SENDIT meme代币,然后在pump[.]fun上推出。外部买家可能将这种协调的AI活动误认为有机需求,使操作者能够将廉价头寸抛售给二级买家获利。
Unit 42指出,这些案例代表了首批有记录的自主AI Agent被用于协调金融欺诈的实例。

三、生态级风险
3.1 规模化攻击能力已经成型
根据腾讯朱雀实验室对ClawHub上超过5万个技能的审计分析,平台生态中存在系统性的结构性风险。这5万个技能背后共有15,427名开发者,但分布极度不均——Top 20合计发布5,422个技能,占总量的12.9%。
最极端的账号在3个月内发布955个技能,日均10.6个。研究人员认为,这种产出密度“背后大概率是模板化批量生成”,多组命名相近、发布时间交替的账号矩阵进一步佐证了这一判断。
3.2 权限过度授权已成默认状态
在近5万个技能里,27,818个声明了网络请求权限,占比74.6%。这意味平均每4个技能就有3个会联网。当联网成为生态默认动作时,真正恶意的数据外传就能混进海量合法流量里,难以被检测。
更危险的是权限组合——文件读取加上网络外传,已经构成了一条完整的数据外泄路径。这种“功能上合理、组合后危险”的过度授权模式在生态中大量存在。
3.3 排名操纵:Agent也会被“刷单”骗
2026年3月,Silverfort研究团队发现ClawHub后端存在一个关键漏洞:任何人发一条未认证的curl请求就能无限刷下载量。他们通过刷量将一个嵌入了数据外泄载荷的技能推到ClawHub排名第一。
最值得警惕的是:这不仅骗了人类用户,也骗了OpenClaw的AI Agent。Agent在自主选择工具时,会优先安装下载量排名靠前的技能,恶意技能借此完成了对Agent的自动化感染。排名操纵等于批量投毒。

四、迄今为止最大规模的Agent技能供应链攻击
2026年2月发生的ClawHavoc事件,是迄今规模最大的Agent技能供应链攻击。
攻击者采用域名仿冒(typosquatting) 策略,伪装成Google Assistant Pro、YouTube Summarize Pro等热门工具名称。载荷使用双层投递——Markdown指令负责窃取SSH密钥,嵌入式Shell脚本负责部署Atomic Stealer(AMOS)窃密木马。高峰期间,下载量Top 7中有5个是恶意技能。
根据启明星辰威胁情报中心的统计,此次攻击活动明确关联的恶意技能包达1120个。攻击者批量注册ClawHub开发者账户,利用自动化工具短时间内生成大量看似合法的技能包。
攻击时间线:
-
2026年1月27日:第一个恶意技能包被上传至ClawHub平台
-
2026年1月31日:攻击活动出现明显激增,批量恶意技能集中上线
-
2026年2月1日:安全公司首次公开披露,命名为“ClawHavoc”
ClawHub在事件后上线了安全检测机制并移除了所有恶意技能。但Unit 42的分析表明,第一代显性恶意样本确实大量消失,但伪装更深的风险并没有一起消失。

五、防御建议与总结
5.1 企业安全团队的应对措施
基于Unit 42和多家安全机构的研究,建议采取以下措施:
|
|
|
|---|---|
| 源头管控 |
|
| 网络监控 |
|
| 权限管控 |
|
| 运行时防护 |
|
| 供应链治理 |
|
5.2 入侵指标(IoC)
以下为本次发现的恶意活动相关指标,已进行无害化处理:
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
总结
-
OpenClaw技能市场已成为供应链攻击的新前沿:攻击者利用AI Agent的指令遵循特性,通过恶意技能实现数据窃取和金融欺诈。
-
平台安全检测机制存在盲区:VirusTotal和ClawScan未能检测到文件填充规避和伪装成合法工具的恶意技能。腾讯朱雀实验室的全量审计进一步证实,排名操纵、远程载荷拉取等更隐蔽的攻击方式仍在持续。
-
AI Agent金融欺诈已从理论走向现实:
money-radar的联盟注入和letssendit的拉高出货,代表了首批有记录的自主AI Agent被用于协调金融欺诈的实例。 -
ClawHavoc不是终点:虽然ClawHub在事件后上线了安全检测机制,但Unit 42在2026年2月至5月的分析中仍然发现了绕过检测的恶意技能。
-
建立多层防御体系:从源头管控、网络监控到权限约束,企业需要将AI Agent供应链安全纳入整体安全治理框架。
加入我们~获取更多安全情报快讯
建议点赞 + 收藏
转发给你身边的运维、网安同事!!!
– 关注我 –
– 带你了解最新安全资讯 –
微信公众号 | @POP Star安全
快手 | @【深云智安】安全实验室
小红书 | @【深云智安】安全实验室
抖音 | @【深云智安】安全实验室
bilibili | @深云智安-安全实验室
以上就是本篇文章的技术细节。
其实,每次写这类分析时,我都在想
“单篇文章就像一张漏洞快照,有价值,但也相对孤立。
真正的行业敏锐度,来自于漏洞背后的持续观察;海量告警的讨论分析;以及在真实环境中无数次历练形成的直觉。”
很难通过阅读单篇文章积累。
因此,我们构建了一个
”注重实战交流“与“深度共享”的
「知识星球」社区
目前星球已聚集了[52]名安全工程师、研究员和团队负责人。
我们刻意控制规模,并设有加入门槛,只为维持聚焦、务实、互信的交流氛围。

“安全是一个对抗性极强的领域,一个人闭门造车,视角终究有限。
如果你已不满足于碎片信息,渴望在一个高质量的环境中,构建可迁移的实战知识体系,并连接一群值得信赖的同行者,这里或许适合你。

PS.:为了确保大家目标一致,请务必阅读星球置顶的《社区公约》。
这是一个为深度学习和有效连接付费的社区。
更多内容
欢迎加入「网络安全技术交流群」免费分享>>
我们专注漏洞研究、攻防实战与代码审计。
群内定期分享技术动态、实战资源与本文相关的工具资料,
让大家一起讨论、共同成长。

添加好友,备注「网络安全」获取入群邀请
更多问题1v1解答>>
点击阅读更多内容
代码审计
代码审计(实战篇)
靶场搭建
环境搭建
夜雨聆风