ClawHub平台发现341个恶意技能窃取用户数据

安全审计揭露ClawHub平台重大安全隐患

根据Koi Security的最新研究发现，对ClawHub平台上的2,857个技能进行安全审计后，发现了341个跨多个攻击活动的恶意技能，使用户面临新的供应链安全风险。

ClawHub是一个专为OpenClaw用户设计的市场平台，旨在帮助用户便捷地查找和安装第三方技能。它是OpenClaw项目的扩展，OpenClaw是一个自托管的人工智能助手，此前曾分别被称为Clawdbot和Moltbot。

恶意技能伪装手法及传播机制

Koi与一个名为Alex的OpenClaw机器人合作进行的分析发现，335个技能使用虚假的前置条件来安装名为Atomic Stealer（AMOS）的macOS窃取软件。这个攻击系列被命名为ClawHavoc。

Koi研究员Oren Yomtov表示："你安装的看起来像是合法技能，可能是solana-wallet-tracker或YouTube-summarize-pro。技能的文档看起来很专业，但有一个'前置条件'部分，提示你需要先安装某些东西。"

这一步骤包含针对Windows和macOS系统的说明：在Windows上，用户被要求从GitHub存储库下载名为"openclaw-agent.zip"的文件；在macOS上，文档要求用户复制托管在glot[.]io上的安装脚本，并粘贴到终端应用中执行。

在受密码保护的压缩包中隐藏着具有键盘记录功能的木马程序，用于捕获机器上的API密钥、凭证和其他敏感数据，包括机器人已经访问的数据。另一方面，glot[.]io脚本包含混淆的shell命令，从攻击者控制的基础设施获取下一阶段的有效载荷。

这进一步涉及连接到另一个IP地址（"91.92.242[.]30"）来检索另一个shell脚本，该脚本配置为联系同一服务器以获取通用Mach-O二进制文件，该文件表现出与Atomic Stealer一致的特征。Atomic Stealer是一种商品化窃取软件，售价为每月500-1000美元，能够从macOS主机收集数据。

根据Koi的研究，恶意技能伪装成以下类型：

ClawHub仿冒品（例如clawhub、clawhub1、clawhubb、clawhubcli、clawwhub、cllawhub）

加密货币工具，如Solana钱包和钱包追踪器

Polymarket机器人（例如polymarket-trader、polymarket-pro、polytrading）

YouTube实用工具（例如youtube-summarize、youtube-thumbnail-grabber、youtube-video-downloader）

自动更新程序（例如auto-updater-agent、update、updater）

金融和社交媒体工具（例如yahoo-finance-pro、x-trends-tracker）

声称与Gmail、日历、表格和云端硬盘集成的Google Workspace工具

以太坊Gas追踪器

丢失比特币查找工具

此外，该网络安全公司表示，它识别出一些技能在功能代码中隐藏反向shell后门（例如better-polymarket和polymarket-all-in-one），或将"~/.clawdbot/.env"中的机器人凭证泄露到webhook[.]site（例如rankaj）。

多方安全机构联合警告

这一发现与OpenSourceMalware的报告相吻合，该机构也标记了针对OpenClaw用户的ClawHavoc攻击活动。

一位网名为6mile的安全研究员表示："这些技能伪装成加密货币交易自动化工具，向macOS和Windows系统传播信息窃取恶意软件。所有这些技能共享相同的命令与控制基础设施（91.92.242[.]30），并使用复杂的社会工程手段说服用户执行恶意命令，然后窃取加密资产，如交易所API密钥、钱包私钥、SSH凭证和浏览器密码。"

平台安全机制存在根本性缺陷

问题源于ClawHub默认是开放的，允许任何人上传技能。目前唯一的限制是发布者必须拥有至少一周的GitHub账户。

OpenClaw的创建者Peter Steinberger已经注意到恶意技能的问题，并推出了报告功能，允许已登录的用户标记技能。文档说明："每个用户一次最多可以有20个活跃报告。收到超过3个独特报告的技能默认自动隐藏。"

开源生态系统面临的威胁升级

研究结果强调了开源生态系统如何继续被威胁行为者滥用，他们现在利用OpenClaw的突然流行来策划恶意攻击活动并大规模传播恶意软件。

在上周的一份报告中，Palo Alto Networks警告说，OpenClaw代表了英国程序员Simon Willison（他创造了"提示注入"一词）所描述的"致命三要素"，由于其对私有数据的访问、对不受信任内容的暴露以及对外通信的能力，使AI智能体在设计上容易受到攻击。

这三种能力的交叉，结合OpenClaw的持久性内存，"起到了加速剂的作用"并放大了风险，该网络安全公司补充道。

研究人员Sailesh Mishra和Sean P. Morgan表示："有了持久性内存，攻击不再只是时间点上的利用，它们变成有状态的、延迟执行的攻击。恶意载荷不再需要在传递时立即触发执行。相反，它们可以是碎片化的、不受信任的输入，单独看起来是良性的，被写入长期智能体内存，然后组装成一组可执行的指令。"

"这使得时间偏移的提示注入、内存投毒和逻辑炸弹式激活成为可能，其中漏洞在摄入时创建，但只有当智能体的内部状态、目标或工具可用性对齐时才会引爆。"

Q&A

Q1：ClawHub平台发现的恶意技能主要采用什么方式欺骗用户？

A：恶意技能主要伪装成合法工具，如加密货币钱包追踪器、YouTube视频下载器等，在看似专业的文档中设置虚假的"前置条件"，诱导用户下载并执行恶意脚本。这些脚本会安装Atomic Stealer窃取软件，窃取API密钥、钱包私钥、浏览器密码等敏感信息。

Q2：为什么ClawHub平台会出现如此多的恶意技能？

A：问题源于ClawHub平台默认是完全开放的，允许任何人上传技能，目前唯一的限制是发布者必须拥有至少一周的GitHub账户。这种宽松的审核机制使得攻击者能够轻易上传恶意技能，利用OpenClaw的流行度大规模传播恶意软件。

Q3：OpenClaw的持久性内存功能为何会放大安全风险？

A：持久性内存使攻击从时间点利用变成有状态的延迟执行攻击。恶意载荷不需要立即触发，可以是碎片化的良性输入，被写入长期内存后，在智能体的内部状态、目标或工具可用性对齐时才组装执行。这实现了时间偏移的提示注入、内存投毒和逻辑炸弹式激活等高级攻击手段。