OpenClaw 遭遇大规模供应链攻击，300多个“伪装技能”潜入用户系统

近日，开源自托管AI代理框架 OpenClaw（原名 Clawdbot）被曝遭遇严重供应链攻击。网络安全平台 VirusTotal 在一份详细报告中指出，其官方插件平台 ClawHub 被植入超过300个恶意“技能”——这些程序伪装成用户常用的工具，如“雅虎财经行情助手”“谷歌工作区同步器”等，实则暗藏木马，可窃取密码、密钥和本地文件。

攻击源头指向一个名为 “hightower6eu” 的账户。该用户在数周内持续上传看似合法的插件，利用 OpenClaw 允许执行本地命令和网络请求的特性，在用户安装后静默下载并运行外部恶意载荷。其中，针对 macOS 系统的 Atomic Stealer 木马被多次部署——这款木马曾在2023年针对开发者和企业用户大肆传播，能窃取浏览器保存的密码、加密货币钱包、SSH密钥，甚至远程控制设备。

受影响的不仅是个人用户。许多企业团队将 OpenClaw 部署于内部服务器，用于自动化文档处理、邮件摘要和本地数据查询。一旦这些“技能”被启用，攻击者便能绕过防火墙，从内网获取敏感信息，而用户根本无从察觉。

紧急响应：ClawHub 全面接入 VirusTotal + Gemini 安全扫描

事件曝光后，OpenClaw 创始人 Peter Steinberger 立即发布紧急公告，宣布对 ClawHub 实施全面安全升级：

• 全量扫描：所有已发布和新上传的技能，均通过 VirusTotal 的“代码洞察”引擎进行分析。该引擎基于 Google Gemini 的AI模型，能识别隐藏的下载行为、可疑网络连接和已知恶意签名。
• 动态监控：系统实时检测技能是否尝试读取 ~/.ssh、~/Documents、钥匙串（Keychain）或连接暗网地址。任何异常行为将触发自动隔离。
• 分级处理：无风险插件自动通过；存在可疑行为的被标记“高风险，谨慎使用”；确认恶意的立即下架，并向所有安装者发送警告通知。
• 每日重扫：所有活跃技能每天自动重新扫描，防止攻击者更新恶意代码绕过检测。

为加强长期安全体系，OpenClaw 已聘请知名安全研究员 Jamieson O’Reilly（Dvuln 创始人、曾协助修复多个开源项目零日漏洞）担任首席安全顾问，主导构建“AI代理安全白皮书”与插件审核流程。

用户该如何自保？官方发布应急指南

尽管平台已升级防护，但用户仍需主动防范：

1. 不要随意安装非官方推荐的技能：尤其是来自新账户、无历史记录或描述模糊的插件。ClawHub 现已增加“认证开发者”标签，仅限经过身份验证的团队发布核心工具。
2. 检查权限请求：每个技能在安装时都会列出所需权限（如“访问文件”“执行命令”）。若一个“天气插件”要求读取你的硬盘或网络请求，立即拒绝。
3. 定期审查已安装技能：进入 ClawHub → “我的插件”，移除长期未更新或不再使用的工具。
4. 开启系统日志监控：macOS 用户可使用 Console 应用监控是否有异常进程（如 python3、curl、wget）在非预期时间访问敏感目录。

OpenClaw 官方已公开一份 受感染技能名单，并提供一键清理脚本，用户可下载执行，自动移除已知恶意插件。

深层危机：AI代理的“开放性”，就是它的致命伤

OpenClaw 的设计初衷是让AI在本地自由操作文件、运行命令、连接数据库——这正是它吸引开发者的原因。但这种“高度自由”也意味着它无法像封闭式AI助手（如ChatGPT）那样被严格限制。

安全专家指出，此类框架面临的是结构性风险：只要AI能理解“帮我查一下今天苹果股价”这样的自然语言，它就可能被诱导执行“下载并运行 https://malicious.site/stealer.sh”——这种“提示注入”攻击，目前没有任何AI模型能100%拦截。

更令人担忧的是，类似攻击已在其他开源AI代理项目中出现。2024年4月，Hugging Face 上的 AutoGPT 插件生态也曾出现类似渗透。OpenClaw 的事件，不是孤例，而是未来AI本地化工具的“必经之痛”。

Steinberger 在采访中坦言：“我们不想做‘安全牢笼’，但也不愿成为黑客的后门。这条路很难走，但我们必须走。”

目前，ClawHub 已暂停新插件上传，预计在6月中旬重新开放，届时所有插件必须通过人工审核+自动扫描双重验证。社区正推动建立“开源AI插件签名认证体系”，类似 Linux 软件包的 GPG 签名机制，让每一行代码都可追溯、可验证。