乐于分享
好东西不私藏

下载的AI技能可能是木马:OpenClaw供应链攻击全解析,17%插件带恶意负载

下载的AI技能可能是木马:OpenClaw供应链攻击全解析,17%插件带恶意负载

点击关注 获取更多实时安全资讯

⚠️一个伪装成TradingView助手的AI技能,在用户安装后,静默从远程服务器拉取macOS信息窃取程序,盗取系统凭证和加密货币密钥。

另一个自称“金融产品顾问”的技能,每次调用时都会在推荐中嵌入隐蔽的联盟跟踪链接,操作者可随时更换推荐产品,用户毫不知情。

还有一个技能更直接——让AI Agent将加密货币汇集到攻击者钱包,在Solana区块链上实施“拉高出货”计划,外部买家误将协调的AI活动当作有机需求。

这不是科幻小说,而是Unit 42研究人员在2026年2月至5月期间,对OpenClaw AI Agent技能市场(ClawHub)进行安全分析时发现的真实案例。他们发现的5个绕过VirusTotal和ClawScan检测的恶意技能,分属信息窃取、检测规避、金融欺诈三类威胁。

更令人警惕的是,此前Bitdefender Labs曾指出,平台上约17%的技能携带恶意负载;Koi Security的ClawHavoc披露文件记录了市场上341个恶意技能。AI Agent供应链安全,正在成为企业安全的新盲区。

一、AI Agent技能市场的信任危机

OpenClaw是一种运行来自ClawHub专用市场第三方技能的AI Agent。这些技能是基于Markdown的软件包,具有对本地系统的深度访问权限。当安装恶意技能时,它可以完全控制Agent的身份,并通过Agent自身已验证的会话执行未经授权的操作,整个过程无需传统漏洞利用

这一威胁的核心问题在于:AI Agent的技能生态天然存在信任边界模糊的问题。与传统软件包不同,技能是通过自然语言指令驱动Agent执行操作的,攻击者可以利用AI的指令遵循特性,通过精心设计的Markdown文档实现恶意行为,绕过传统安全工具的检测

Unit 42研究人员指出,这种攻击范式与传统软件供应链攻击有本质区别:“传统恶意软件往往受到语言运行时或容器的限制,而恶意技能则通过语义指令劫持来绕过技术约束。通过滥用AI的自然语言解释能力,恶意技能可以无需传统漏洞利用即可完成攻击。”

二、恶意技能实战解剖

2.1 信息窃取:伪装成TradingView助手的macOS木马

Unit 42发现的其中两个威胁,是伪装成macOS版TradingView生产力助手的技能。两者都嵌入了恶意前置条件块,指示Agent访问rentry[.]co/openclaw-code上的粘贴站点重定向诱饵,其中包含等待在终端窗口中运行的Base64编码命令

该命令随后从IP地址为2.26.75[.]16的远程服务器拉取名为cluw的macOS信息窃取程序。这个C2服务器与早期ClawHavoc活动中使用的AMOS C2服务器(91.92.242[.]30)不同,表明攻击者正在更新基础设施,以规避基于已知IOC的检测

2.2 检测规避:22MB垃圾字符填出的“干净”判定

另一个名为omnicogg的技能,将AMOS恶意软件投放器嵌入README.md文件中,然后用22MB的垃圾字符填充,以超过大多数扫描管道强制执行的文件大小限制

结果显示,VirusTotal和ClawScan都返回了“干净”的判定,意味着该技能在隐藏活动恶意代码的同时仍可自由获取。Unit 42指出,这种规避技术之所以有效,是因为“许多扫描管道会跳过异常大的文件而不是处理它们”

2.3 Agentic金融欺诈:当AI成为“拉高出货”的工具

除了数据窃取,研究人员还发现了两个滥用AI Agent咨询权限谋取经济利益的技能

money-radar技能伪装成面向中国大陆、香港和新加坡用户的金融产品顾问。每次调用时,它会静默从laosji[.]net获取有效负载,并在生成的每条推荐中嵌入联盟跟踪链接。操作者可以在用户不知情的情况下随时更换推荐产品

letssendit技能则更进一步——在Solana区块链上实施“拉高出货”计划。安装的Agent将SOL加密货币汇集到操作者的钱包中,随后操作者以最低可用价格购买SENDIT meme代币,然后在pump[.]fun上推出。外部买家可能将这种协调的AI活动误认为有机需求,使操作者能够将廉价头寸抛售给二级买家获利

Unit 42指出,这些案例代表了首批有记录的自主AI Agent被用于协调金融欺诈的实例

三、生态级风险

3.1 规模化攻击能力已经成型

根据腾讯朱雀实验室对ClawHub上超过5万个技能的审计分析,平台生态中存在系统性的结构性风险。这5万个技能背后共有15,427名开发者,但分布极度不均——Top 20合计发布5,422个技能,占总量的12.9%

最极端的账号在3个月内发布955个技能,日均10.6个。研究人员认为,这种产出密度“背后大概率是模板化批量生成”,多组命名相近、发布时间交替的账号矩阵进一步佐证了这一判断

3.2 权限过度授权已成默认状态

在近5万个技能里,27,818个声明了网络请求权限,占比74.6%。这意味平均每4个技能就有3个会联网。当联网成为生态默认动作时,真正恶意的数据外传就能混进海量合法流量里,难以被检测

更危险的是权限组合——文件读取加上网络外传,已经构成了一条完整的数据外泄路径。这种“功能上合理、组合后危险”的过度授权模式在生态中大量存在。

3.3 排名操纵:Agent也会被“刷单”骗

2026年3月,Silverfort研究团队发现ClawHub后端存在一个关键漏洞:任何人发一条未认证的curl请求就能无限刷下载量。他们通过刷量将一个嵌入了数据外泄载荷的技能推到ClawHub排名第一

最值得警惕的是:这不仅骗了人类用户,也骗了OpenClaw的AI Agent。Agent在自主选择工具时,会优先安装下载量排名靠前的技能,恶意技能借此完成了对Agent的自动化感染排名操纵等于批量投毒

、迄今为止最大规模的Agent技能供应链攻击

2026年2月发生的ClawHavoc事件,是迄今规模最大的Agent技能供应链攻击

攻击者采用域名仿冒(typosquatting) 策略,伪装成Google Assistant Pro、YouTube Summarize Pro等热门工具名称。载荷使用双层投递——Markdown指令负责窃取SSH密钥,嵌入式Shell脚本负责部署Atomic Stealer(AMOS)窃密木马。高峰期间,下载量Top 7中有5个是恶意技能

根据启明星辰威胁情报中心的统计,此次攻击活动明确关联的恶意技能包达1120个。攻击者批量注册ClawHub开发者账户,利用自动化工具短时间内生成大量看似合法的技能包

攻击时间线

  • 2026年1月27日:第一个恶意技能包被上传至ClawHub平台

  • 2026年1月31日:攻击活动出现明显激增,批量恶意技能集中上线

  • 2026年2月1日:安全公司首次公开披露,命名为“ClawHavoc”

ClawHub在事件后上线了安全检测机制并移除了所有恶意技能。但Unit 42的分析表明,第一代显性恶意样本确实大量消失,但伪装更深的风险并没有一起消失

五、防御建议与总结

5.1 企业安全团队的应对措施

基于Unit 42和多家安全机构的研究,建议采取以下措施

措施类别
具体做法
源头管控
验证技能发布者来源;逐行审计技能源文件;建立可信技能白名单
网络监控
监控出站网络流量,检查是否存在与未记录端点的连接;任何与技能声明目的不符的行为都应标记为潜在入侵指标
权限管控
遵循最小权限原则,限制AI Agent的文件读写、网络通信和Shell执行权限
运行时防护
部署EDR监控异常进程调用;对涉及凭证或外部路由的操作引入人工审批机制
供应链治理
将Agent配置文件视为正式安全控制文档;定期审计已安装技能的行为模式

5.2 入侵指标(IoC)

以下为本次发现的恶意活动相关指标,已进行无害化处理

类型
指标
描述
IP地址
2.26.75[.]16
托管cluw macOS信息窃取程序的C2服务器
IP地址
91.92.242[.]30
早期和持续活动中使用的AMOS C2服务器
域名
laosji[.]net
通过money-radar技能进行运行时联盟注入
URL
rentry[.]co/openclaw-code
提供Base64编码投放器的粘贴站点重定向诱饵
GitHub
github[.]com/Ddoy233/openclawcli
恶意OpenClaw CLI仓库

总结

  1. OpenClaw技能市场已成为供应链攻击的新前沿:攻击者利用AI Agent的指令遵循特性,通过恶意技能实现数据窃取和金融欺诈

  2. 平台安全检测机制存在盲区:VirusTotal和ClawScan未能检测到文件填充规避和伪装成合法工具的恶意技能。腾讯朱雀实验室的全量审计进一步证实,排名操纵、远程载荷拉取等更隐蔽的攻击方式仍在持续

  3. AI Agent金融欺诈已从理论走向现实money-radar的联盟注入和letssendit的拉高出货,代表了首批有记录的自主AI Agent被用于协调金融欺诈的实例

  4. ClawHavoc不是终点:虽然ClawHub在事件后上线了安全检测机制,但Unit 42在2026年2月至5月的分析中仍然发现了绕过检测的恶意技能

  5. 建立多层防御体系:从源头管控、网络监控到权限约束,企业需要将AI Agent供应链安全纳入整体安全治理框架


加入我们~获取更多安全情报快讯

建议点赞 + 收藏

转发给你身边的运维、网安同事!!!

– 关注我 –

– 带你了解最新安全资讯 –

微信公众号 | @POP Star安全

快手 | @【深云智安】安全实验室

小红书 | @【深云智安】安全实验室

抖音 | @【深云智安】安全实验室

bilibili | @深云智安-安全实验室

以上就是本篇文章的技术细节

其实,每次写这类分析时,我都在想

单篇文章就像一张漏洞快照,有价值,但也相对孤立

真正的行业敏锐度,来自于漏洞背后的持续观察;海量告警的讨论分析;以及在真实环境中无数次历练形成的直觉。”

很难通过阅读单篇文章积累。

因此,我们构建了一个

”注重实战交流““深度共享

「知识星球」社区

目前星球已聚集了[52]名安全工程师、研究员和团队负责人。

我们刻意控制规模,并设有加入门槛,只为维持聚焦、务实、互信的交流氛围。

“安全是一个对抗性极强的领域,一个人闭门造车,视角终究有限。

如果你已不满足于碎片信息,渴望在一个高质量的环境中,构建可迁移的实战知识体系,并连接一群值得信赖的同行者,这里或许适合你。

PS.:为了确保大家目标一致,请务必阅读星球置顶的《社区公约》。

这是一个为深度学习和有效连接付费的社区。


更多内容

欢迎加入「网络安全技术交流群」免费分享>>

我们专注漏洞研究、攻防实战与代码审计。

群内定期分享技术动态、实战资源与本文相关的工具资料

让大家一起讨论、共同成长。

添加好友,备注「网络安全」获取入群邀请

更多问题1v1解答>>


点击阅读更多内容

代码审计

  1. 代码审计-PHP 篇(一)之从原理到实战的全景指南

  2. 代码审计-PHP 篇(二)之前台代码审计实战指南

  3. 代码审计-PHP 篇(三)之深度审计 SQL 注入漏洞

  4. 代码审计-PHP 篇(四)之文件操作类漏洞:深度剖析文件操作场景潜在风险

  5. 代码审计-PHP篇(五):洞悉风险,固守防线 — 文件读取漏洞深度解析与防护

  6. 代码审计-PHP篇(六)之文件删除漏洞:从任意删除到系统瘫痪的致命威胁

代码审计(实战篇)

  1. 『PHP代码审计』· 实战篇-熊海CMS代码审计(一)

  2. 『PHP代码审计』· 实战篇-熊海CMS代码审计(二)

  3. 『PHP代码审计』· 实战篇-熊海CMS代码审计(三)

  4. 『PHP代码审计』· 实战篇-BlueCMS代码审计

  5. 『PHP代码审计』· 实战篇-DeDeCMS代码审计

  6. 『PHP代码审计』· 实战篇-XdCMS代码审计

靶场搭建

  1. 铸器为刃——靶场搭建系列篇(一)

  2. 铸器为刃——靶场搭建系列篇(二)

  3. 铸器为刃——靶场搭建系列篇(三)

  4. 铸器为刃——靶场搭建系列篇(四)

  5. 铸器为刃——靶场搭建系列篇(五)

  6. 铸器为刃——靶场搭建系列篇(六)

环境搭建

  1. 工欲善其事必先利其器—环境搭建系列之基础工具篇一

  2. 工欲善其事必先利其器—『环境搭建系列之基础工具篇二

  3. 工欲善其事必先利其器—环境搭建系列之基础工具篇三

  4. 工欲善其事必先利其器—环境搭建系列之基础工具篇四

  5. 工欲善其事必先利其器——环境搭建系列之基础工具篇(五)

  6. 工欲善其事必先利其器——环境搭建系列之基础工具篇(六)