⚠️ OpenClaw 技能市场遭遇大规模恶意投毒
📋 事件概述
自 2026 年以来,OpenClaw 的插件市场(ClawHub)中恶意 skills 数量激增。由于 ClawHub 允许任意用户注册发布 skills(无需身份验证/代码审查),仅依赖 skill.json 中的 author 字段进行标识,攻击者得以批量注册账号发布带恶意代码的插件。
攻击者主要实现以下恶意目的:
- 🖥️ 任意代码注入
- 💰 加密货币钱包窃取
- 🔑 API 密钥与敏感文件盗取
- 🤖 AI Agent 身份接管
🎯 典型攻击手法与活动
1. ClawHavoc 攻击系列
| 项目 | 详情 |
|---|---|
| 攻击者 ID | hightower6eu 等 |
| 伪装形式 | "加密货币交易助手"、"PDF 总结工具"等实用插件 |
| 攻击手法 | 利用 SKILL.md 文档伪造"环境依赖缺失"假象 |
| 诱导行为 | 要求用户复制粘贴 Base64 编码的恶意脚本或下载加密压缩包 |
| 恶意载荷 | Atomic macOS Stealer (AMOS) 木马 |
| 窃取目标 | 钥匙串、浏览器密码、Telegram 会话 |
2. Vidar 及其变种
| 项目 | 详情 |
|---|---|
| 攻击方式 | 恶意脚本静默执行 |
| 窃取文件 | openclaw.json、device.json、soul.md、memory.md |
| 攻击目的 | 获取 AI Agent 的身份标识、记忆上下文及关联的 API 密钥 |
| 危害程度 | 受害者 AI 身份被完全接管 |
3. ClawJacked 远程代码执行
| 项目 | 详情 |
|---|---|
| 攻击向量 | 恶意网站 + 本地 WebSocket 连接 |
| 利用方式 | 暴力破解本地 WebSocket 密码 / GNU 长选项缩写绕过 safeBins 限制 |
| 触发条件 | 用户仅需访问恶意网页(无需主动安装插件) |
| 突破限制 | localhost 隔离限制 |
| 最终危害 | 远程代码执行(RCE),攻击者获得系统最高控制权 |
🛡️ 安全建议
1. 谨慎执行终端命令 ⚠️
🚫 高危信号(一律视为危险):
curl/wget下载命令bash执行脚本命令- Base64 编码字符串解码
- "修复环境依赖"的复杂命令
原则:合法的插件不应要求用户手动执行此类复杂命令来"修复环境"。
2. 严格管控第三方插件 🔒
| 建议 | 说明 |
|---|---|
| ✅ 优先使用官方内置 skills | OpenClaw 官方内置的 skills 经过安全校验 |
| ✅ 确认第三方来源 | 使用前验证作者身份和项目信誉 |
| ✅ 人工审计代码 | 重点检查是否存在异常网络请求和敏感文件读取操作 |
| ✅ 最小权限原则 | 仅授予必要的系统访问权限 |
3. 定期检查敏感文件 👀
建议定期检查以下文件是否有异常修改或外传迹象:
~/.easyclaw/workspace/openclaw.json
~/.easyclaw/workspace/device.json
~/.easyclaw/workspace/soul.md
~/.easyclaw/workspace/memory.md
~/.easyclaw/workspace/USER.md4. 启用安全配置 🛠️
// 在配置文件中启用安全限制
{
"security": {
"safeBins": true,
"allowlist": ["git", "python", "node"],
"blockExternalRequests": false
}
}🚨 疑似感染迹象
如出现以下情况,可能已遭受攻击:
- 未知的网络外连请求
- 敏感文件被修改或读取
- 加密货币钱包异常
- Telegram 等应用会话异常
- 系统出现未知进程
- API 密钥泄露迹象
📞 报告与反馈
如发现可疑 skills 或安全漏洞,请:
- 立即停止使用相关插件
- 断开网络连接
- 向 OpenClaw 官方报告
- 更改相关 API 密钥和密码