OpenClaw系列安全事件的前因与后果

自OpenClaw（原名ClawdBot/Moltbot）爆火以来，其生态系统暴露出一系列严重的安全事件，涵盖了从软件漏洞、供应链投毒到数据泄露等多个层面。以下是按时间线梳理的主要安全事件及其前因后果。

📅 2025年

1月：ClawHavoc大规模供应链投毒事件

起因： 安全公司Koi Security在对ClawHub技能市场进行审计时发现，攻击者利用平台极低的发布门槛（仅需创建超过一周的GitHub账户），发起了名为“ClawHavoc”的大规模投毒活动。

经过与后果：攻击者发布了数百个伪装成合法工具（如solana-wallet-tracker、youtube-summarize-pro）的恶意技能。这些技能的README文档看似正常，但其中的安装命令（如pip install）被植入了隐藏的curl | bash指令。用户一旦复制粘贴执行，便会静默下载并安装信息窃取木马（如AMOS），导致API密钥、SSH凭证等敏感信息被窃取。在审计的2,857个技能中，发现了341个恶意技能，其中335个属于此次攻击活动。

12月：Cline CLI供应链入侵事件

起因： 流行的AI编程助手Cline CLI（npm包）在2025年12月下旬被攻击者入侵，持续约八小时。

经过与后果：攻击者在被篡改的软件包中植入了恶意代码，该代码会在开发者的工作站上静默安装OpenClaw，并自动执行ClawHavoc攻击活动中发现的已中毒技能。这次事件将OpenClaw的供应链风险传导至了更广泛的开发者群体中，形成了连锁反应。

📅 2026年

1月：“Clinejection”后门事件

起因： 安全研究人员发现，在Cline软件包2025年12月21日的一次源代码提交中，被添加了一个隐藏步骤。

经过与后果：这个隐藏步骤会从恶意URL下载并执行OpenClaw。微软威胁情报部门观察到，2026年2月17日OpenClaw安装量的显著增长与这个被攻破的Cline软件包直接相关。该攻击被命名为“Clinejection”（技能注入），揭示了看似无关的开发工具如何成为更大规模供应链攻击的通道。

1月末：Shodan扫描暴露无认证实例

起因： 安全研究员Jamieson O'Reilly通过搜索引擎Shodan进行扫描，发现数百个配置不当的OpenClaw实例。

经过与后果：这些实例由于反向代理未正确配置trustedProxies，导致所有请求都被视为来自本地（127.0.0.1）的可信连接，从而绕过了身份认证。研究员手动验证后，成功访问了多个实例的Anthropic API密钥、Telegram Bot Token以及数月完整的聊天记录，并能以系统管理员权限执行命令。

1月31日 - 2月1日：Moltbook数据库泄露事件

起因： Wiz研究团队发现OpenClaw的配套AI社交网络Moltbook存在严重配置错误。其Supabase数据库未启用行级安全策略（Row Level Security, RLS），且前端代码中硬编码了可直接读写数据库的API Key。

经过与后果：该漏洞导致约150万个API认证Token、35,000个电子邮件地址和4,000条私信被公开暴露。即使在第一轮修复后，写权限仍然开放，攻击者可以任意篡改平台上的帖子内容，进行提示词注入攻击。最终，社区建议所有用户重置Agent密钥。

2月：ClawJacked高危零点击漏洞披露 (CVE-2026-25253)

起因： 安全公司披露了OpenClaw本地网关设计中的一个致命漏洞。该漏洞源于其默认信任来自localhost的连接，且未对连接来源进行校验，也未设置速率限制。

经过与后果：攻击者只需诱导用户访问一个恶意网页，网页中的JavaScript脚本便可自动向本地的OpenClaw网关发起WebSocket连接，通过暴力破解快速获得管理员权限，从而在用户毫无感知的情况下完全接管AI智能体。攻击者可借此窃取本地文件、执行任意系统命令，实现远程代码执行（RCE）。

2月13日：Vidar窃密木马变种定向狩猎

起因： 网络安全公司Hudson Rock捕获了信息窃取木马Vidar的一个新变种。

经过与后果：该木马在原有扫描规则的基础上，增加了对OpenClaw本地配置目录（~/.openclaw/）的抓取功能。由于OpenClaw将API密钥、OAuth令牌等敏感信息以明文形式存储，一旦用户设备感染该木马，其完整的AI身份、数字签名私钥、长期记忆和对话历史将被全部窃取并外传，导致AI身份被完全接管。