OpenClaw:那只危险的“龙虾”

一个AI插件，差点让8年的开源项目毁于一旦

一场差点发生的生态级灾难

2026年3月5日，Neutralinojs作者Shalitha Suranga收到一条紧急私信：

“你的主代码仓库已经被植入恶意JavaScript代码。”

Neutralinojs是一个有8年历史的开源项目，成千上万的跨平台应用基于它构建。Shalitha迅速检查，发现四个核心仓库全部被注入恶意代码——而且手法极其隐蔽，经过重度混淆后，在GitHub上肉眼几乎无法察觉。

调查结果很快水落石出：一位拥有写入权限的早期核心贡献者，安装了一款名为“OpenClaw”的AI插件，导致账号被攻陷。

根据安全团队的报告，攻击源头追溯至朝鲜，这是一场精心设计的供应链攻击。Shalitha事后感叹：“这是一场差一点就炸掉整个生态的攻击！”

OpenClaw是什么？为什么它能成为供应链攻击的突破口？

OpenClaw是一款开源的AI智能体框架，因其图标形似小龙虾，被网友称为“龙虾”。它的核心能力是：通过自然语言指令直接操控计算机，自主完成邮件收发、文件操作、代码编写等任务。简单来说，它让AI从“聊天答问”升级为“系统级干活”。

但正是这种“系统级权限”，让它成为攻击者的理想跳板。

国家互联网应急中心发布的风险提示指出，OpenClaw存在四大核心风险：提示词注入、指令误操作、插件投毒、安全漏洞。

更触目惊心的是，针对其插件生态的分析发现，3016个技能插件中，336个包含恶意代码，占比高达10.8%。攻击者可以远程修改AI执行逻辑，而用户浑然不觉。

有安全团队还原了真实攻击链：攻击者搭建一个看似无害的网页，诱导受害者点击。页面里的JavaScript会自动访问受害者本地的OpenClaw，取出认证token发给攻击者服务器。攻击者拿到token后，直接调用接口执行任意命令。

受害者什么都没做，只是打开了一个网页，自己的电脑就被控制了。

OpenClaw的安全风险引发监管层高度重视。

3月10日起，国家互联网应急中心、工信部、国家网络与信息安全信息通报中心相继发布风险预警。

监管警报下达后，金融行业迅速反应。据《华夏时报》报道，已有多地监管部门向辖区内信托公司下发专项通知，明确要求“禁止在所有与工作相关的终端部署开源智能体”。

一家信托公司高管表示：“公司办公电脑有严格的软件安装管控，‘龙虾’自然在禁止之列。”

除了OpenClaw自身漏洞，围绕这只“龙虾”还形成了一整套黑灰产生态。

盗版插件泛滥成灾，多由黑灰产私自篡改原版代码制作，被非正规代装服务暗中安装在用户设备中。

“代养龙虾赚收益”的骗局也在社交平台蔓延。不法分子打着“零成本操作、被动赚佣金”的旗号，诱导用户交出设备权限，实则用于批量注册账号、刷单、网络攻击。

npm生态也未能幸免。一个伪装成OpenClaw安装程序的恶意包，在被发现时已有178次下载，安装后会部署远程访问木马，窃取敏感数据。

还有深圳某程序员安装OpenClaw后仅三天，便收到1.2万元账单——没有做好安全配置，AI在后台自动调用相关服务产生巨额费用。

对于正在使用OpenClaw的用户，安全专家给出以下建议：

Neutralinojs的遭遇是一个典型信号：供应链攻击已经从“攻击代码”演变为“攻击信任关系”。

一个核心贡献者安装了一款AI工具，就差点让8年的心血毁于一旦。正如媒体评论所言：“真正成熟的技术革命，从来不是野蛮生长，而是效率与安全的平衡。”

2026年，数字世界的每一步操作都要小心。

供应链攻击，已是这个时代开发者最可怕的敌人。