OpenClaw—AI研究OpenClaw快速普及暴露技能供应链与假安装程序风险
OpenClaw 凭借开源特性和强大的扩展能力,在 2026 年迎来用户规模的爆发式增长。然而,香港计算机应急响应中心(HKCERT)最新发布的安全报告指出,这种快速普及正让 OpenClaw 面临严重的技能供应链与假安装程序风险,部分恶意 Skills 已经在野被发现,给用户和企业带来切实的安全威胁。
报告显示,攻击者主要通过两种方式发起攻击。第一种是技能投毒,即在第三方 Skills 仓库中上传包含恶意代码的”伪装技能”,这些技能表面看是正常功能模块,实际会在加载时执行后门命令、窃取用户凭证。第二种是假安装程序,攻击者通过 SEO 优化、社交媒体广告将恶意安装包推送给搜索 OpenClaw 教程的用户,技术含量不高但胜在利用了用户对开源生态的信任心理。
与传统的软件供应链攻击不同,OpenClaw 生态的攻击面更广。一个用户安装的技能可能来自任意第三方作者,并且技能可以调用宿主机的文件系统、网络、剪贴板等高权限资源。这意味着只要有一个恶意技能被加载,攻击者就能获得接近完整用户权限的控制能力,远比 npm 或 PyPI 上的恶意包危害更大。
HKCERT 在报告中给出了多个真实案例,包括伪装成”加密货币价格查询”技能的木马、模仿官方 OpenClaw CLI 界面的钓鱼安装程序、以及通过 Telegram 群传播的”破解版”安装包。其中最严重的一起事件中,恶意技能在被安装后自动读取了用户本地保存的所有 API Key,并将其发送到攻击者控制的服务器。
从攻击者画像看,HKCERT 发现发起攻击的不仅有传统的黑产团伙,还出现了以”AI Agent 培训”为幌子的钓鱼机构。这些机构通过虚假的付费课程吸引初学者,再以”提供定制化技能开发工具”为名分发带有后门的安装程序,受害者群体正在从极客扩展到普通办公人群。
对于 OpenClaw 用户,HKCERT 建议遵循三个原则:仅从官方注册中心安装技能、安装前仔细审核作者信息和代码内容、避免下载非官方渠道的安装包。对于 OpenClaw 团队,则需要建立更严格的技能签名机制、代码审计流程和用户举报通道,从生态层面降低供应链风险。