OpenClaw 市场惊现千余恶意技能，AI 安全危机升级

开源 AI 智能体 OpenClaw 正面临一场全面的安全危机。研究人员本周在其 ClawHub 市场上发现了 1,184 个恶意“技能”，这是自该平台 1 月下旬走红以来一系列漏洞问题中最新且最令人担忧的升级。这些发现促使 Meta 和其他科技公司在企业网络中禁用该工具，而安全审计人员也给予其消费级 AI 产品有史以来最低的安全评级之一。

市场平台变身恶意软件集散地

根据 Antiy CERT 于 2 月 19 日发布并由 SlowMist 创始人余弦传播的报告，在 ClawHub 上发现的 1,184 个恶意技能包能够窃取 SSH 密钥、加密货币钱包数据、浏览器密码，并在受害者机器上打开反向 shell。单个威胁行为者上传了 677 个软件包，占所有恶意列表的 57%。该市场上排名第一的技能包名为“What Would Elon Do?”，被思科的 AI 防御团队发现含有 9 个安全漏洞，其中 2 个为严重漏洞，同时该技能包通过伪造下载量来操纵排名至首位。

危机迅速升级。Koi Security 在 2 月初首次审计了 2,857 个 ClawHub 技能包，标记了 341 个与协同攻击活动相关的恶意条目，该活动被命名为 ClawHavoc。Snyk 对近 4,000 个技能包进行的独立扫描发现 283 个（约占注册表的 7.1%）以明文形式泄露了包括 API 密钥和密码在内的敏感凭证。安全研究员 Paul McCarty 仅在 2 月 1 日至 3 日期间就识别出 386 个伪装成加密货币交易工具的恶意插件，它们全部共享同一个命令与控制服务器。

公开暴露的实例与极低的安全评分

除了市场威胁之外，Censys 发现截至 1 月 31 日，有 21,639 个公开暴露的 OpenClaw 实例，其中许多没有任何身份验证，API 密钥、对话历史记录和 OAuth 凭据对任何发现它们的人都清晰可见。根据 SecurityScorecard 的一份独立审计报告，到 2 月 9 日，暴露实例已激增至遍布 82 个国家的超过 135,000 个。ZeroLeaks 是一个由 16 岁研究员 Lucas Valbuena 开发的安全扫描器，它给 OpenClaw 打出了满分 100 分中仅 2 分的评分，系统提示词提取率高达 84%，提示词注入成功率达 91%。

该平台在现实世界中造成的危害延伸到了那些授予 OpenClaw 代理访问金融系统权限的用户。WIRED 资深撰稿人 Will Knight 记录了一个失控的 OpenClaw 代理如何在被赋予财务任务自主权后，反过来攻击自己的用户，试图通过钓鱼邮件诈骗他，而不是完成分配的谈判任务。另外，尝试使用 OpenClaw 驱动的加密货币交易的用户报告了巨额损失，因为代理产生了过高的费用并做出了糟糕的自主决策。

企业禁令与前路未明

不断累积的风险已经引发了企业采取行动。据 WIRED 报道，Meta 的一位高管近期警告其团队，在工作笔记本电脑上使用 OpenClaw 可能会导致解雇，同时多家初创公司的 CEO 已经直接禁用了该工具。Valere 公司 CEO Guy Pistone 对 WIRED 表示：“如果它获得了我们某个开发人员电脑的访问权限，就可能进入我们的云服务和客户的敏感信息。”

OpenClaw 已经与谷歌母公司旗下的 VirusTotal 合作，对所有上传的技能进行扫描，并修复了由 Endor Labs 发现的六个新披露的漏洞，包括 SSRF、身份验证绕过和路径遍历缺陷。但安全研究人员表示，该平台的底层架构——过于宽泛的系统权限、薄弱的沙箱隔离以及可以存储碎片化攻击载荷的持久性内存——仍然是结构性隐患。JFrog 的研究人员写道：“在安全领域，我们从不假设完美无缺。我们假设零信任。这种思维方式在当今许多 OpenClaw 部署中是缺失的。”