夜雨聆风当 AI 智能体工具逐渐从技术圈的尝鲜品走入大众的日常工作与生活,OpenClaw 这款开源自主 AI Agent 框架凭借其灵活的本地部署能力、丰富的功能插件(Skill)生态,迅速成为全球范围内备受追捧的 AI 辅助工具。然而,伴随其爆火而来的,却是一场席卷全球的安全危机 —— 恶意 Skill 的泛滥,如同一场无声的瘟疫,在 OpenClaw 的生态中蔓延,为整个 AI 行业的供应链安全敲响了沉重的警钟。
AI Agent 供应链攻击
(一)传统供应链投毒攻击
传统供应链攻击通常具有明确的场景局限,典型如 npm 供应链攻击,核心目标是窃取开发者设备中的密钥、GitHub 令牌、NPM 发布凭证等敏感凭据。这类攻击窃取目标价值较高,但影响范围相对有限,主要集中在开发者群体与开发环境。
(二)AI Agent 新型威胁模型
相比之下,AI Agent 供应链攻击形成了完全不同的威胁模型,具备更广的攻击范围、更强的隐蔽性,对普通用户的渗透能力也显著提升,具体表现如下:
持久窃取私有数据:AI Agent 的核心功能包括读取本机的邮件、日历、消息、文档及文件系统,可能会泄露敏感数据内容。
持续获取不可信内容:AI Agent 会处理网页数据、聊天消息,每一条外部内容都可能成为提示词注入的攻击载体。
自主外联恶意服务器:与被动调用的接口不同,AI Agent 可在无人工实时监管的情况下,主动发送邮件、发布消息、调用 API 并执行相关操作。
ClawHub 供应链投毒的技术剖析
ClawHub 是 OpenClaw 的官方技能市场和注册中心,负责为 OpenClaw 提供可下载的技能和扩展插件。2026年2月爆发的ClawHavoc攻击活动是迄今为止针对ClawHub平台最大规模的供应链攻击。
(一)攻击技术分析攻击者采用了高度伪装的社会工程学策略:前期发布看似合法的Skill,如solana-wallet-tracker、youtube-summarize-pro等,通过专业的文档包装来建立可信度,随后在"Prerequisites(前置条件)"部分要求用户先安装所谓的"必备依赖"。
攻击的技术执行路径体现了对目标用户群体的精准理解,在Windows系统上,攻击者要求用户从GitHub仓库下载名为“openclaw-agent.zip”、“OpenClawProvider-1.0.1.zip”的加密压缩包,密码设置为“openclaw”以绕过自动化杀毒扫描,压缩包内包含带有键盘记录功能的木马程序,可捕获机器上的API密钥、凭证。
在macOS系统上,攻击者诱导用户复制github托管的安装脚本并粘贴到终端执行,该脚本包含混淆的shell命令,会从攻击者控制的基础设施获取后续载荷,最终会联系IP地址91.92.242.30 获取通用macOS二进制文件,该文件疑似后门软件Atomic macOS Stealer(AMOS)的特征。
ClawHavoc 攻击活动的显著特点是伪装策略多样且针对性极强,攻击者针对不同高价值用户群体定制了大量恶意技能:
以攻击者注册的账号“sakaen736jih”为样本分析,其中 67个伪装成加密货币相关工具,瞄准加密货币用户;28个伪装成 YouTube 效率工具,针对内容创作者;另有 30个伪装成涵盖浏览器代理、自动更新、代码智能体、深度研究、内容总结、任务调度、轻量服务及命令行工具、覆盖从开发者到普通用户的广泛人群。
安全防范建议
针对 OpenClaw 的安全风险,工信部迅速发布了 “六要六不要” 的防范建议,为用户和企业提供了明确的安全指引:
(一)使用官方最新版本。要从官方渠道下载最新稳定版本,并开启自动更新提醒;在升级前备份数据,升级后重启服务并验证补丁是否生效。不要使用第三方镜像版本或历史版本。
(二)严格控制互联网暴露面。要定期自查是否存在互联网暴露情况,一旦发现立即下线整改。不要将“龙虾”智能体实例暴露到互联网,确需互联网访问的可以使用SSH等加密通道,并限制访问源地址,使用强密码或证书、硬件密钥等认证方式。
(三)坚持最小权限原则。要根据业务需要授予完成任务必需的最小权限,对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。优先考虑在容器或虚拟机中隔离运行,形成独立的权限区域。不要在部署时使用管理员权限账号。
(四)谨慎使用技能市场。要审慎下载ClawHub“技能包”,并在安装前审查技能包代码。不要使用要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能包。
(五)防范社会工程学攻击和浏览器劫持。要使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用日志审计功能,遇到可疑行为立即断开网关并重置密码。不要浏览来历不明的网站、点击陌生的网页链接、读取不可信文档。
(六)建立长效防护机制。要定期检查并修补漏洞,及时关注OpenClaw官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警。党政机关、企事业单位和个人用户可以结合网络安全防护工具、主流杀毒软件进行实时防护,及时处置可能存在的安全风险。不要禁用详细日志审计功能。
结论
ClawHub 安全危机为 AI Agent 生态敲响警钟:其暴露了 AI 代理因系统级权限、自主执行与外部通信形成的独特攻击面,亟需新的分析框架与防御技术;同时凸显 AI 时代供应链安全的关键,AI Agent 依赖的技能、模型、数据等组件构成复杂供应链,任一环节漏洞均可致系统失效,建立软件物料清单(SBOM)与供应链可追溯机制成为必然;更警示技术创新需与安全治理同步,OpenClaw 的快速流行印证市场对 AI Agent 的强需求,但不能以安全为代价,需技术社区、企业、安全研究者与政策制定者协同,构建创新与安全并重的生态,防范系统性风险。
参考链接:
https://www.prplbx.com/blog/clawhavoc-ai-supply-chain-attack
https://mp.weixin.qq.com/s/iBibKhHwn95pGqovJeQ0KA
分中心介绍
供应链安全能力分中心(山东)由山东省网安数字科技有限公司建设,承担山东省域供应链安全建设合规审查、供应商安全能力评估、软硬件产品成分分析、威胁情报和培训服务等工作,着力提升山东省政企单位安全能级。
