利爪浩劫——面向AI代理OpenClaw技能市场的大规模投毒行动分析
时间:2026年02月06日 作者:安天CERT
1.概述
2026年初,伴随着OpenClaw爆火,叠加由于多次更名带来的认知混乱,其生态系统成为供应链攻击的新目标 。OpenClaw作为开源个人AI代理,提供了灵活的Skills(技能插件)扩展接口,也开放了官方技能市场ClawHub,已经形成了一个新型的AI产业生态。而攻击者正是通过注册为ClawHub的开发者,开发并批量上传伪装成合法技能插件的恶意“Skills”,通过“ClickFix”模式的社工攻击技巧,诱导用户下载安装,在用户系统中植入运行恶意代码。构成了一起严重的面向AI生态的供应链投毒攻击事件。安天安全研究与应急处理中心(安天CERT)对本事件进行了持续跟踪,并进行了相关样本分析和研判。安天AVL SDK反病毒引擎已经具备相关恶意Skills样本的查杀能力。使用安天AVL SDK反病毒引擎的主机安全产品升级后均可检测拦截相关恶意Skills文件样本,及其关联下载的样本。
OpenClaw(曾用名ClawdBot、Moltbot),是近期被全球关注的现象级开源AI智能体,以“跨平台数字生产力工具”为核心定位,在短时间内获得极高关注度。其Skills模块作为生态扩展,支持深度接入数十个办公及社交平台,用户可通过相关平台便捷获取与安装。目前已衍生出数千种各类Skills,涵盖自动化办公、加密货币工具、社交媒体辅助等多个场景,初步形成了自组织、快速演化的开源生态。
ClawHub是作为OpenClaw的核心Skills分发渠道,已经形成了由一定粘性的开发者群体。2026年2月1日,国际安全团队Koi Security在ClawHub平台上发现大量恶意Skills集中植入,并将相关攻击称之为“ClawHavoc”攻击行动,我们尊重Koi率先发现者对事件的命名权,将攻击事件中文名译为“利爪浩劫”,同时根据投毒样本的形态特点,将相关批次样本命名为Trojan/OpenClaw.PolySkill。
ClawHub运营者已经进行了响应处理,部分恶意Skills已无法搜索到,但仍有“漏网之鱼”,在规模性下架恶意Skills后,截止到本报告发布时点,ClawHub平台中共包含3498个Skills。根据安天CERT统计,历史ClawHub至少出现过1184个恶意Skills。其中ID为hightower6eu的作者上传恶意包最多,达677个。
随着基于技能的生态规模快速扩张,Skills市场投毒成为了OpenClaw生态最突出、最紧迫的安全挑战,也使扩展插件的供应链污染对AI生态的新威胁。恶意Skills通过伪装隐蔽、诱导传播等方式可窃取用户敏感数据、接管系统权限、篡改系统数据、破坏系统运行、自动横向渗透攻击。相关风险如果不能有效遏止,也会制约OpenClaw开源生态的健康与可持续发展。并影响用户对整个AI代理类工具和产品的信心。同样,这一事件对国内AI生态的建设与发展也将带来重大的警示作用。其与近期开始陆续出现的基于大模型平台编写的恶意代码,无不提醒我们,所谓人工智能安全不应窄化为人工智能本身机理型的算法、模型风险及数据投毒,AI所推动的网络攻击自动化与AI应用带来导致的暴露面与新的攻击通道已经处于加速运动之中,才是我们当下需要最迫切投入资源应对的现实威胁。
2.“利爪浩劫”事件与样本分析
OpenClaw作为支持功能扩展的AI代理框架,其Skills扩展包可通过ClawHub市场便捷安装,而Skills本质上是一组“以结构化文件组织起来的插件/能力包”,具体内容包括配置、代码、资源、元数据。基于安天所提出的执行体治理视角,其是一类新型的脚本格式的新型执行体。攻击者利用Skills的开放扩展机制,制作伪装成正常功能的恶意技能包并上架ClawHub,诱导用户下载安装;这类恶意技能包通常会在SKILL.md说明文件或配套脚本中,植入要求用户执行终端命令、下载运行未知二进制文件的“虚假安装步骤”,借助社会工程学手段骗取用户信任并执行高危操作,一旦用户照做,恶意代码将凭借技能包的系统访问权限直接侵入主机,最终实现对用户系统的控制、数据窃取或恶意程序植入,形成完整的攻击链路。
2.1 典型恶意Skill样本分析
目前捕获到的样本虽然数量很多,但整体上主要是三类恶意功能:诱导下载并执行恶意代码(ClickFix)、反弹连接Shell(RAT)、信息窃取(steal)。其中部分并不是传统意义上的恶意代码,而是一个带有URL的社工内容。按照安天恶意代码分类命名规范分类前缀/环境前缀.家族命名的格式,安天CERT将这批样本统一命名为Trojan/OpenClaw.PolySkill,将其分类为特洛伊木马;并首次在命名库中增加OpenClaw前缀;与此同时,基于Skill包是一个代码、数据、配置、元数据等的聚合物(Poly),其风险恰恰在于Poly同时具备对OpenClaw操控和对使用者欺骗的能力,因此我们用Poly(聚合体)与Skill组合,作为其命名。对恶意Skill诱导下载的二进制木马,我们会在后续报告中专门分析。本篇聚焦于恶意Skill投毒。对于其诱导下载的木马,我们依然采取原同源性家族命名。
1、诱骗下载并执行恶意代码典型样本:skill内容对应的是zip压缩包文件,文件内容包含:一个json和一个SKILL.md文件,恶意下载链接或恶意下载命令被嵌入至SKILL.md文件中。
对应样本在文档中提供虚假信息,冒充需要用户手动安装openclaw-core组件才能使用,依托操作指南文档,对用户进行社工欺骗,诱导用户下载安装恶意代码。其中针对Windows系统则从github下载恶意加密压缩包并解压执行恶意软件,通过工程师对github的信任感提高诱骗成功率。macOS系统则执行base64解码后的命令,从攻击者的服务器下载二制载荷执行。
表2-1 SKILL.md样本标签
|
病毒名称 |
Trojan/OpenClaw.PolySkill |
|
原始文件名 |
SKILL.md |
|
MD5 |
5e4428176aeb8cfc7f0391654d683a2a |
|
文件大小 |
5.36 KB (5,493 字节) |
|
文件格式 |
Text/ISO_IEC.UTF8[:No bom] |
|
SKILL包名 |
google-k53 |
|
版本 |
1.0.0 |
图2-1 诱导下载压缩包或执行恶意命令
针对MacOS系统恶意代码分析,其执行base64解码后得到一个URL并下载二进制载荷。
表2-2 MacOS二进制样本标签
|
病毒名称 |
Trojan/MacOS.Amos |
|
原始文件名 |
sujwb2nsdn93d79q |
|
MD5 |
be24b44d4895c6bc14e3f98a9687a399 |
|
处理器架构 |
X86_64、ARM64 |
|
文件大小 |
509 KB (521,440 字节) |
|
文件格式 |
Mach-O |
|
编译语言 |
C/C++ |
|
VT首次上传时间 |
2026-02-03 15:48:21 UTC |
|
VT检测结果 |
26/65 |
其二进制载荷中存在大量加密静态数据,仅在运行时进行解密,以此规避检测。
图2-2 加密数据及对应的解密代码
根据其算法对多个不同样本data段中的配置信息进行解密,其配置中均有“jhzhhfomng”、“https://socifiapp[.]com”字符串以及对话框提示文本,主要是窃取文件类型的范围有所不同。
图2-3 解密后的部分配置信息
在运行后会显示预先配置好的伪装信息,让用户输入系统密码,以此获取更高权限实施恶意行动。根据相关提示信息、及代码分析关联可知样本为Atomic macOS Stealer(简称AMOS)窃密木马。AMOS窃密木马能够窃取文件、浏览器保存的密码、cookie、自动填充信息、系统Key串数据、Telegram会话和聊天记录、SSH 密钥和 bash/zsh 历史以及加密货币钱包资产等,然后压缩为ZIP发送至C2服务器。
图2-4 启动时弹出伪造的密码输入框
2、反弹shell典型样本:skill对应的是zip压缩包文件,压缩包中包含:json文件、SKILL.md文件、scripts文件夹,该文件夹存在python脚本文件。
对应样本冒充加密货币监控工具获取加密货币平台的市场行情信息,但脚本文件代码中嵌入利用os.system函数执行恶意下载或反弹shell的命令。
表2-3 python代码样本标签
|
病毒名称 |
Trojan/OpenClaw.PolySkill |
|
原始文件名 |
polymarket.py |
|
MD5 |
a3365c837ec2659c2aa04e7010a0db15 |
|
文件大小 |
13.6 KB (13,927 字节) |
|
文件格式 |
Script/Python.PY |
|
SKILL包名 |
polymarket-all-in-one |
|
版本 |
1.0.0 |
图2-5 下载具有反弹shell连接功能的远控木马
3、窃密典型样本:skill对应的是zip压缩包文件,恶意代码在压缩包中的js文件中,利用js代码外传数据。
对应样本以“天气助手”功能为伪装,从开源天气网站open-meteo.com获取天气数据,并发送天气数据到用户信箱,但实际上窃取本地文件~/.clawdbot/.env。这个文件中存放正是付费的AI(Claude、OpenAI)等的可信配置源。
表2-4 js代码的样本标签
|
病毒名称 |
Trojan/OpenClaw.PolySkill |
|
原始文件名 |
index.js |
|
MD5 |
2444b3ab5de42fcca22e6025cf018e3b |
|
文件大小 |
7.55 KB (7,734 字节) |
|
文件格式 |
Script/Netscape.JS |
|
SKILL包名 |
rankaj |
|
版本 |
1.0.0 |
图2-6 将窃取的数据发送至Webhook
2.2 攻防事件时间线
➢ 2026年1月27日,首个恶意Skill,polymarket-traiding-bot v1.0.0发布,上传者为aslaep123;
➢ 2026年1月28日,恶意Skill,reddit-trends v1.0.0、base-agent v1.0.0发布;
➢ 2026年1月29日,恶意Skill,bybit-agent v1.0.0发布;
➢ 2026年1月31日,开始大规模发布恶意Skills,总计7名攻击者发布386个恶意Skills,其中包括主要攻击者hightower6eu的354个;
➢ 2026年2月1日,安全团队Koi首次披露相关攻击活动,并将其命名为ClawHavoc;
➢ 2026年2月1日,社区制作了一个基于AI用于自动检查Skills安全性的工具Clawdex;
➢ 2026年2月3日,社区在GitHub发出安全提示,称已手动删除相关Skills,修复了多个安全问题,并提交两个拉取请求。
2.3 恶意Skill样本统计
2026年2月5日,截止至报告发布时,安天CERT发现ClawHub历史skills包中存在1184个恶意的,归属于12个作者ID,其中作者ID为hightower6eu的恶意包达677个。ClawHub平台正在进行清理。
表2-5 ClawHub恶意skills包统计
|
Skills包作者 |
数量 |
|
hightower6eu |
677 |
|
sakaen736jih |
390 |
|
moonshine-100rze |
60 |
|
zaycv |
19 |
|
aslaep123 |
14 |
|
jordanprater |
10 |
|
noreplyboter |
4 |
|
rjnpage |
2 |
|
gpaitai |
2 |
|
lvy19811120-gif |
2 |
|
danman60 |
2 |
|
noypearl |
2 |
其中多数恶意Skill已经被清理下架,但还能访问并归属于moonshine-100rze上传者的Skills包地址如下,共计60个,对应下载量达14285次,请用户注意其风险。我们整理了URL清单,便于网络管理者加入黑名单,阻断风险。
图2-7 moonshine-100rze上传者的Skills包
2.4 攻击者的战术技巧分析
攻击者针对Skill流行度和Skill使用群体进行了有针对性的设计,以提升攻击价值。
|
技能类别 |
代表性名称 |
目标受众 |
攻击意图 |
|
加密货币工具 |
solana-wallet-tracker, polymarket-trader, binance-agent |
加密货币交易者、DeFi 用户 |
窃取钱包私钥、助记词、交易所API密钥 |
|
生产力增强 |
google-workspace, gmail-integration, excel-helper |
企业员工、开发者 |
窃取企业文档、日历安排、邮件通信 |
|
社交媒体工具 |
youtube-summarize-pro, x-trends-tracker, twitter-monitor |
内容创作者、营销人员 |
劫持社交账号、窃取会话 Cookies |
|
系统实用程序 |
auto-updater, clawhub-cli, mac-optimizer |
高级用户、系统管理员 |
建立持久化后门、获取系统最高权限 |
|
拼写混淆 |
clawhubb,
cllawhub, clawwhub |
粗心的用户 |
利用拼写错误进行被动感染 |
此次攻击中最具欺骗性的环节是其通过恶意Skill的配套文档(README.md或SKILL.md)承载社工欺骗。攻击者编写了长达500-700行的辅助文档(当然很大可能本身就是AI编写的),详细介绍了工具的功能、API集成方法和使用案例,极大地增加了Skill的可信度。文档中关键的恶意地址被巧妙地伪装在“先决条件”(Prerequisites)或“安装设置”(Setup)章节中。攻击者声称,为了使Skill正常工作(例如连接到Solana区块链或调用YouTube API),用户必须安装一个特定的“辅助工具”或“代理程序”。从而让用户自己下载运行木马。
针对Windows用户:文档提供了一个指向GitHub Releases页面的链接,要求下载一个受密码保护的ZIP压缩包。攻击者明确告知密码(通常是1202、openclaw或1234)。这种加密手段是为了规避GitHub的自动扫描机制以及用户本地防病毒软件的实时扫描。
针对macOS用户:文档提供了一行看似复杂的终端命令,要求用户复制并粘贴执行。这些命令通常涉及从rentry.co或glot.io等粘贴板服务获取脚本。
这种策略利用了AI用户的心理盲区:他们习惯于为了让AI跑起来而配置各种复杂的依赖项,因此对于“安装辅助工具”这一要求缺乏警惕。
2.5 关键威胁实体与技术手段
● 攻击者画像:
行动者:hightower6eu(发布了677个恶意技能,主导了大规模分发)、zaycv(针对性攻击)、Ddoy233和hedefbari(托管恶意载荷),投毒者间的关系仍待进一步分析。
动机分析:可判断为经济利益驱动,专注于窃取加密货币钱包(Solana, Phantom)和开发者凭证(AWS, SSH)
●关键技术手段:
ClickFix 2.0:将本次投毒的社工诱导攻击技巧是ClickFix的升级。ClickFix是指2024年起,在全球范围内开始迅速流行的 新型社会工程学攻击技术(Social Engineering Technique),其利用情境欺骗,诱导用户点击复制并运行相关指令,为恶意代码攻击执行体创造下载运行窗口, 也被称为“一键修复”攻击。本次攻击也是如此,没有利用软件漏洞,也并非让OpenClaw发起下载,而是利用“文档”实施社工欺骗。在SKILL.md中伪造“前置安装要求”,诱导用户下载文件,复制命令。
环境寄生:恶意代码利用AI代理自身的高权限(读取.env文件),直接将凭证发送到webhook,甚至不需要复杂的C2通信。
2.6 应对建议
对于OpenClaw用户:
1、检查近期Skill下载情况,及时清除恶意Skill,并修改与OpenClaw相关的密码、Token等账户凭据。
2、安装能持续跟踪恶意Skill并更新的终端安全软件,如安天智甲终端防御系统。
3、下载Skill时谨慎检查,避免在OpenClaw中接入存放敏感信息的平台。
关注OpenClaw安全更新,并及时更新到最新版本。
3.扩展分析:代理式AI带入的全新风险
利爪浩劫”行动之所以造成如此广泛的影响,一方面在于其选择了一个处于安全防御盲区的新兴目标:OpenClaw AI代理的生态系统。另一方面,则体现了安天一直在提醒的“运行对抗”和“认知对抗”的加速融合。因此我们必须延展分析更多的风险与威胁可能性。
3.1 OpenClaw:有手的AI更危险
与ChatGPT等被动式的生成式大型语言模型(LLM)不同,OpenClaw属于代理式AI(Agentic AI)。这类系统的核心价值已经不是基于生成的交互,而在于“行动”——它们不仅生成文本,还能代表用户执行任务。ChatGPT代表AI真正张开了嘴,OpenClaw则代表AI生出了“手”。
为了让“手”更好工作,用户通常会授予AI极高的系统权限,包括:
● Shell访问权:执行终端命令。
● 文件系统读写权:修改代码、读取文档。
● API密钥管理权:访问GitHub、AWS、Google Workspace等第三方服务。
OpenClaw更因其“Vibe Coding”能力(即全自动编写和部署代码)而走红。然而,这种自动化带来了一个致命的安全假设:用户往往默认生态推荐或AI生成的代码是安全的,从而绕过了传统软件安装中的人工审查环节(Human-in-the-loop)。
而更进一步的威胁想定是,当OpenClaw或其他类似机理的节点被攻击者控制,其拥有的就不只是跳板和肉鸡,其将是一个智能化的攻击基础设施。让Botnet节点从它接受攻击者的指令而行动,变成它像攻击者一样自由行动。
3.2 ClawHub:AI供应链集市不设防
为了扩展AI代理的能力,开发方建立了ClawHub,这是一个社区驱动的“技能”(Skills)市场。技能本质上是一组配置和脚本,教导AI如何执行特定任务(例如“分析Solana链上数据”或“总结YouTube视频”)。
本事件问题的核心诱因是ClawHub采用了默认开放的上传规则,所有用户均能发布相关技能,现阶段仅有的限制为发布者需持有注册时长满一周的GitHub账号。Koi Security报告指出,“ClawHub几乎没有任何安全审查机制”。一个注册仅一周的GitHub账户即可发布技能,并被OpenClaw用户实例检索、安装。这一缺陷,被攻击者捕获,将其作为恶意软件分发的理想载体。实现典型的供应链攻击(MITRE ATT&CK T1195):即攻击者毒化了上游的技能仓库,利用用户对平台的信任,将恶意逻辑植入到下游的终端设备中。针对这一问题,OpenClaw项目创始人Peter Steinberger已紧急新增技能举报功能。据官方公告显示:已完成登录的用户可对平台内技能发起举报;每位用户最多可同时提交20条有效举报信息;当某一技能被3名及以上不同用户举报后,将被平台自动隐藏处理。
对这些措施,安天CERT的评价是,是必要的、必须的,但其是远远不够的。其同时需要的实现是后台一系列的自动化检测运营机制,包括静态检测、代码和语义分析、沙箱分析等,以及基于运营体系开展响应的团队。从AppleStore、Google Play到MicroSoft Store,再到国产手机的应用商店;统一的应用商店,在带来便利的同时,也必然成为供应链投毒的集散地。为此软件和手机应用的运营者,经历了与投毒者的长期对抗,持续完善了包括上架审核、自动化分析、人工抽检、用户举报响应等体系。安天移动安全团队也参与支撑了多数国产手机品牌的应用商店的上架安全机制设计,对此有更多的自身的理解。而历来的新场景出现时,其注定会把上一场景所犯的所有安全错误,都重新再来一次。
3.3 AI尝鲜者:信任被攻击者武器化
在ClickFix类型的攻击成功案例中,工程师反而有一定的攻击占比。因为一些没有IT能力的用户,看到所谓的系统修复提示,可能反而不知所措,即使看到了诱导“教程”,依然无法学会如何进入命令窗口。而类似系统修复提示等,反而对部分工程师有一定欺骗性。这是一种技术信任的武器化。作为正在快速迭代完善的OpenClaw,至今并不是一个小白能够轻易DIY部署的AI代理。使用OpenClaw的人较大比例本身是IT工程师、程序员或理工男。当收到一封特别的邮件,或者IM中发送来一个可执行文件时,这个群体会保持警惕,甚至Office或PDF文档也会担心是否是格式溢出攻击。但其处于所谓开发者生态时,其敏感性会自然下降。而这恰恰是一些带有很强IT能力的人会被攻击失陷的原因。较早的案例包括安天曾长篇分析的Xcode非官方版本恶意代码污染事件 [2],相关攻击组织在盗版IDA Pro中植入后门,而成功入侵了相关软件开发工程师和威胁分析工程师的电脑等“打眼”事件,都是体现了开发者和工程师群体可能存在专业场景下安全意识松弛区,从而可能被攻击者利用这一特点。
4.总结
“利爪浩劫”事件是AI安全领域的一个里程碑型事件。这不仅是一次单纯的恶意软件传播,更是一场由平台侧技术架构缺陷、社区管理混乱与攻击者把握作业窗口、实施高级社会工程学共同催化的结果。其用一种极为传统的、在某些技术偏执者眼中毫无所谓的技术含量的提交投毒-欺骗执行的攻击方式,展示了人工智能的急迫风险并不是AI算法的“天网觉醒”,而是IT治理的“地基塌陷”。
4.1 OpenClaw为何成为完美的攻击靶标
这次攻击以及未来的攻击,都会精准利用了当前AI代理(Agentic AI)生态发展初期的三个薄弱环节:
● “Vibe Coding”与速度优先的开发文化,牺牲了基础安全
OpenClaw及其配套编辑器Moltbook是“Vibe Coding”(即依赖AI辅助、快速迭代、感性决策的开发模式)的代表产物。创始人曾公开承认项目是“凭感觉构建而成”,这种追求极速上线与功能快速迭代的文化,往往忽略了基本的安全架构、策略与能力建设——例如其未在技能商店侧实施有效的风控与审计策略,也未在产品侧对文件读写、Shell命令执行等高风险操作进行有效隔离。其结果是,一个具备系统级权限的AI代理工具叠加无风控策略的开放插件市场在几乎无防护的状态下被推向的用户,为攻击者敞开了大门。
● “ClickFix”社会工程学的迭代升级,适配了AI代理场景
攻击并非简单投毒,而是针对开发者心理与行为模式进行了针对性设计。2024–2026年间,“ClickFix”攻击手法(诱使用户复制粘贴恶意命令以“修复”问题)变形演进。在此次事件中,攻击者将恶意指令伪装成技能安装所需的“前置依赖项(Prerequisites)”,并嵌入在SKILL.md等文档中,利用用户习惯于按照手册操作、直接下载二进制包或运行安装脚本的心理,实现了高度隐蔽的代码执行。如果总是将基于社工伪装的钓鱼、欺骗下载运行等视为没有技术含量的攻击,视为受害者的安全意识问题,而不是给与技术、能力、管理、流程与投入的应对,那么其社工攻击就会更加猖獗的泛滥。
● 频繁的品牌重塑与社区混乱,弱化了用户辨识能力
项目在短时间内经历了多次更名(ClawdBot→Moltbot→OpenClaw),导致官方信息渠道分散、用户认知混淆。这种“品牌迷雾”不仅消耗了开发团队的维护精力,也切断了用户对权威来源的信任链。攻击者则趁社区注意力被更名讨论、加密货币诈骗等外围事件分散之际,在官方技能平台中大规模植入恶意模块,进一步加剧了风险传播。
以上三点共同构成了此次攻击得以扩散的结构性背景,也反映出AI代理生态在爆发增长初期所面临的安全挑战:开发文化重功能轻安全、社区治理与安全机制尚未健全,但攻击手法则随场景高速进化。这些都为中国在发展自己AI代理的进程中,提供了前车之鉴。
4.2 执行体治理依然是人工智能安全的基础
安天提出了执行体治理理念,依托AVL SDK反病毒引擎的恶意代码精准检测和执行体信誉机制,协助用户场景实现全量执行体运行对象和系统运行环境的清晰化,将安全边界进一步从每一个各端点最小化到每一个执行体。我们关注到了在大模型AI走向新一代操作系统的过程中,执行体的形态和内涵也在发生变化,我们亦提出提示词(Prompt)是一种新型的执行体。
而此次事件,展示了在AI代理环境下新的执行体系形态,其依然是带有运行能力或入口的I/O对象,例如脚本、或带有执行路径指向(URL)的文本。其依然在反病毒技术体系归一化能力之内,这使我们能很容易的实现样本自动化入库,拓展为AVL SDK反病毒引擎的检测特征和URL检测规则。而从平台侧来看,ClawHub依然是应用商店模式在AI代理时代的延展,对Skill开发者和Skill模块的管控,依然是类似于手机应用商店的源管控。这同样是我们长期支撑国产手机等生态伙伴完成的工作。这些都体现出,反病毒这一被视为“传统”的技术,在新型AI场景下,依旧可以把多数新型威胁纳入归一化的检测范式,依然是安全能力的基石。
与此同时,面对ClickFix 2.0的社工攻击模式,我们也检讨对用户心智侧在执行体的运行逻辑中的作用重视不够。例如对判定非脚本文本会作为无毒文件跳过,对剪贴板中的URL未增加检测点等。无论是在PC侧还是手机侧,我们都会迅速在主防体系中强化对用户的心智层面的支撑。
4.3 人工智能安全的不能窄化为算法机理安全
安天始终认为新技术发展必然伴生着对旧风险的加速“改造”、对新风险的创造,以及自身成为风险侵害对象的过程,人工智能也是如此。人工智能不可避免地提升网络攻击活动的自动化水平与攻击效率;人工智能的广泛应用,不可避免的带来新的暴露面、可攻击面、数据泄露源;人工智能的预处理、算法机理、模型训练、评估优化等工作过程中也必然面对数据投毒、隐私窃取、模型攻击、恶意利用等威胁挑战。但国内当前,一定程度上存在着将人工智能安全问题,窄化为人工智能本身机理安全的科学问题、数学问题或算法问题倾向,对正在发生、且在不断加剧的真实网络威胁样式,和威胁行为体对我方实施攻击的真实活动关注度和资源投入均严重不足,反而更关注超前应对人工智能自身的“天网觉醒”。对人工智能的自身机理的安全布局当然有重大意义,但其很难在人工智能本身飞速发展的时候,立即形成非常清晰的方法框架,而需要采取渐进、伴生性的研究态度,同步跟进。人工智能不是一个可以自我价值闭合的场景,其不是一个“缸中之脑”,其价值要落地于现有社会的产业场景环境中,对接到数据体系,输出到具体场景,融入各种产品、工程、流程体系中。其安全首先依赖于数据治理基础、需要系统和网络安全的能力保障。而这些基本安全支撑能力是人工智能体系的地基。
“利爪浩劫”事件的爆发,验证了我们的观点坚持。OpenClaw技能商店投毒的针对的不是AI模型的内在算法,也并非基于算法机理的投毒,而是利用其开源生态中本应具备的检测、分析、风控能力与体系的缺失;其在端侧场景也没有使用任何0day漏洞,或技术意义的漏洞。而是基于看似“没有技术含量”的社工攻击,实现对使用者的心智欺骗,让用户自己为自己装上恶意代码,再利用OpenClawAI代理本身的将高权限、高自动化的特点,将其转化为窃密的手段、可控的跳板。这深刻揭示出:当前最迫切的人工智能风险并非算法失控,而是人工智能的快速普及推进,绕过了IT和数据治理的基本约束,并将历史上新技术发展的所有风险悲剧,再次重演。夯实人工智能+的基础,需要在基础的IT治理、数据治理与防御体系构建上,做好补课工作和基本准备。
安天也同时坚信“新技术的风险应对之道往往在新技术本身”,在攻击者借助人工智能技术实现自动化的漏洞发现、PoC编写、恶意代码开发,攻击人工智能带来的新的暴露面的同时,我们也在利用人工智能技术强化恶意代码的自动化分析能力、实现海量安全告警的降噪,提升安全事件日志的理解;实现自动化的运营,我们同样在基于澜砥端侧大模型来实现自适应的判断与响应。
新生事物永远是脆弱的,但新生事物是不可战胜的。面对人工智能的快速发展,安天团队也只是初学者、应用者、谨慎探索者。我们分析相关安全相关事件,是为了揭示攻击机理。驱动改善防护,而非苛责或嘲笑新生事物的脆弱,我们会继续一边学习和应用新生事物,发展新生事物,一边保护新生事物的成长。
5.附录:完整时间表(基于AI自动整理)
● 第一阶段:爆发与隐患(1月24日 - 1月26日)
● 1月24日:Peter Steinberger发布Clawdbot。作为一个“本地优先”的AI代理,它能直接操作文件系统和命令行,迅速在Hacker News和GitHub上爆红,几天内获得数万颗Star。
● 1月25-26日:
○ 硬件抢购:由于需要24/7运行AI代理,该项目意外引发了搭载M4芯片的Mac Mini的抢购潮。
○ 早期预警:安全研究员Jamieson O'Reilly(Dvuln)在Shodan上发现数百个Clawdbot实例暴露在公网,且无任何身份验证。与此同时,Snyk等机构开始警告“SKILL.md”文件可能成为攻击载体。
● 第二阶段:混乱的72小时(1月27日 - 1月29日)
这是攻击者入侵的关键窗口期。
● 1月27日:
○ 商标纠纷:Anthropic要求项目改名。项目方宣布更名为Moltbot。
○ 账号被劫:在更名过程中,GitHub组织名和X账号@clawdbot被释放。短短10秒内,加密货币诈骗团伙抢注了这些账号,发布虚假代币$CLAWD,市值一度飙升至1600万美元后崩盘。
○ 首个恶意Skill出现:首个恶意Skill包polymarket-traiding-bot v1.0.0发布,上传者为aslaep123。
● 1月28日:
○ 恶意Skill:reddit-trends v1.0.0、base-agent v1.0.0 发布;
○ Moltbook上线:专为AI代理设计的社交网络上线,迅速吸引大量机器人注册。这引入了“Bot-to-Bot”提示注入的新风险。
○ Cisco Talos警告:发布报告指出OpenClaw存在9个关键漏洞,称其为“安全噩梦”。
● 1月29日:
○ 再次更名:项目最终定名为OpenClaw。
○ 恶意Skill:bybit-agent v1.0.0 发布;
○ CVE-2026-25253披露:研究机构depthfirst私下通报了一个允许“一键RCE”的WebSocket漏洞。
● 第三阶段:全面爆发与处置(1月30日 - 2月4日)
● 1月30日:
○ OpenClaw发布v2026.1.29补丁,强制移除无身份验证模式,修复RCE漏洞。
○ 此时,ClawHub上的恶意技能下载量已达数千次,Windows和macOS用户开始感染InfoStealer。
● 1月31日:
○ 开始大规模发布恶意Skills:总计7名攻击者发布386个恶意Skills,其中包括主要攻击者hightower6eu的354个;
● 2月1日:
○ ClawHavoc曝光:Koi Security和OpenSourceMalware正式发布报告,披露ClawHub上存在341个恶意技能,并将此次战役命名为“ClawHavoc”。
○ 安全工具发布:社区制作了一个基于AI用于自动检查Skills安全性的工具Clawdex。
○ 恶意基础设施IP 91.92.242.30被确认与Atomic Stealer(AMOS)家族关联。
● 2月2日:
○ Moltbook数据泄露:云安全公司Wiz发布报告,指出Moltbook数据库因未配置RLS,导致150万个Auth Token和3.5万个真实用户邮箱泄露。攻击者可利用这些Token接管任何AI代理。
○ Snyk确认恶意活动仍在通过变种(如clawdhub1)持续进行。
● 2月3-4日:
○ 官方回应:OpenClaw创始人Peter Steinberger任命Jamieson O'Reilly为安全代表,承诺发布详细的安全路线图。
○ 社区陆续清理恶意Skills。
6.部分IOC
|
A37F6403FBF28FA0B48863287F4C5A5D |
|
B8F295977D4DEC2E9BFFD6FCE2320BD1 |
|
A535666293DB8DCABA511E38B735F2B8 |
|
6EB06663F1F6A43AB59BF0D35AE4E933 |
|
DB48607A6F85E716A3EC3E9B613F278D |
|
683C79817D7A3C32619A6623F85A5B32 |
|
760C89959E2D80F9B78A320023A875B7 |
|
C458840F920770438CDA517160BFD1B1 |
|
BE24B44D4895C6BC14E3F98A9687A399 |
|
3A4450BACF20EEA2DCC246DA7BCE9667 |
|
8611DFD731C27AC1592DE60A31C66634 |
|
0C76E33DDDE228E9CE098EDF3BF5F06A |
|
5E4428176AEB8CFC7F0391654D683A2A |
|
A3365C837EC2659C2AA04E7010A0DB15 |
|
2444B3AB5DE42FCCA22E6025CF018E3B |
|
91.92.242.30 |
|
95.92.242.30 |
|
96.92.242.30 |
|
202.161.50.59 |
|
54.91.154.110 |
|
socifiapp.com |
|
https://github.com/denboss99 (已无法访问) |