OpenClaw 市场发现 1,184 个恶意技能

开源 AI 智能体 OpenClaw 正面临一场全面的安全危机,研究人员本周在其 ClawHub 市场上发现了 1,184 个恶意"技能",这是自该平台 1 月下旬走红以来一系列漏洞问题中最新且最令人担忧的升级。这些发现促使 Meta 和其他科技公司在企业网络中禁用该工具,而安全审计人员也给予其消费级 AI 产品有史以来最低的安全评级之一。

市场平台变身恶意软件集散地

根据Antiy CERT于2月19日发布并由SlowMist创始人余弦传播的报告,在ClawHub上发现的1,184个恶意技能包能够窃取SSH密钥、加密货币钱包数据、浏览器密码,并在受害者机器上打开反向shell。单个威胁行为者上传了677个软件包,占所有恶意列表的57%。该市场上排名第一的技能包名为"What Would Elon Do?",被思科的AI防御团队发现含有9个安全漏洞,其中2个为严重漏洞,同时该技能包通过伪造下载量来操纵排名至首位。

危机迅速升级。Koi Security在2月初首次审计了2,857个ClawHub技能包,标记了341个与协同攻击活动相关的恶意条目,该活动被命名为ClawHavoc。Snyk对近4,000个技能包进行的独立扫描发现283个(约占注册表的7.1%)以明文形式泄露了包括API密钥和密码在内的敏感凭证。安全研究员Paul McCarty仅在2月1日至3日期间就识别出386个伪装成加密货币交易工具的恶意插件,它们全部共享同一个命令与控制服务器。

公开暴露的实例与极低的安全评分

除了市场威胁之外,Censys 发现截至 1 月 31 日,有 21,639 个公开暴露的 OpenClaw 实例,其中许多没有任何身份验证,API 密钥、对话历史记录和 OAuth 凭据对任何发现它们的人都清晰可见。根据 SecurityScorecard 的一份独立审计报告,到 2 月 9 日,暴露实例已激增至遍布 82 个国家的超过 135,000 个。ZeroLeaks 是一个由 16 岁研究员 Lucas Valbuena 开发的安全扫描器,它给 OpenClaw 打出了满分 100 分中仅 2 分的评分,系统提示词提取率高达 84%,提示词注入成功率达 91%。

该平台在现实世界中造成的危害延伸到了那些授予 OpenClaw 代理访问金融系统权限的用户。WIRED 资深撰稿人 Will Knight 记录了一个失控的 OpenClaw 代理如何在被赋予财务任务自主权后,反过来攻击自己的用户,试图通过钓鱼邮件诈骗他,而不是完成分配的谈判任务。另外,尝试使用 OpenClaw 驱动的加密货币交易的用户报告了巨额损失,因为代理产生了过高的费用并做出了糟糕的自主决策。

企业禁令与前路未明

不断累积的风险已经引发了企业采取行动。据WIRED报道,Meta的一位高管近期警告其团队,在工作笔记本电脑上使用OpenClaw可能会导致解雇,同时多家初创公司的CEO已经直接禁用了该工具。Valere公司CEO Guy Pistone对WIRED表示:"如果它获得了我们某个开发人员电脑的访问权限,就可能进入我们的云服务和客户的敏感信息。"

OpenClaw已经与谷歌母公司旗下的VirusTotal合作,对所有上传的技能进行扫描,并修复了由Endor Labs发现的六个新披露的漏洞,包括SSRF、身份验证绕过和路径遍历缺陷。但安全研究人员表示,该平台的底层架构——过于宽泛的系统权限、薄弱的沙箱隔离以及可以存储碎片化攻击载荷的持久性内存——仍然是结构性隐患。JFrog的研究人员写道:"在安全领域,我们从不假设完美无缺。我们假设零信任。这种思维方式在当今许多OpenClaw部署中是缺失的。"