OpenClaw技能市集被揭露藏有逾千個惡意插件,專門竊取SSH金鑰與加密錢包私鑰。AI工具生態的「信任預設」,正在成為Web3最被低估的攻擊面。
(前情提要:彭博:a16z何以成為美國AI政策背後的關鍵力量?)
(背景補充:Arthur Hayes最新文章:AI將引爆信用崩潰,聯準會終將「無限印鈔」點燃比特幣)
本文目錄
慢霧創辦人余弦稍早在X平台發出警告:OpenClaw的ClawHub技能市集中,約有1,184個惡意技能插件,能夠竊取使用者的SSH金鑰、加密貨幣錢包私鑰、瀏覽器密碼,甚至建立反向Shell後門。排名最高的惡意技能包含9個漏洞,下載次數更已達數千。
再次提醒:文本不再是文本,而是指令。玩AI這些工具要用獨立環境…
Skills很危險⚠️
Skills很危險⚠️
Skills很危險⚠️ https://t.co/GZ3hhathkE— Cos(余弦)😶🌫️ (@evilcos) 2026年2月20日
ClawHub是近期爆紅的OpenClaw(前身clawbot)的官方技能市集。使用者在上面安裝第三方擴充套件,讓AI代理執行從程式碼部署到錢包管理的各種任務。
安全公司Koi Security在1月底率先揭露了這場被命名為「ClawHavoc」的攻擊行動,初步識別出341個惡意技能。隨後,獨立安全研究員與Antiy CERT將範圍擴大至1,184個,涉及12個發布帳號。其中一個化名hightower6eu的攻擊者,獨自上傳了677個套件,超過總數的一半。
換句話說,一個人就污染了整個市集過半的惡意內容,而平台的審核機制完全沒有攔住。
這些惡意技能的手法並不粗糙。它們偽裝成加密貨幣交易機器人、Solana錢包追蹤器、Polymarket策略工具、YouTube摘要器,配有專業文件說明。而真正的殺招藏在SKILL.md檔案的「前置條件」區段:指引使用者從外部網站複製一段混淆處理的Shell腳本,貼到終端機執行。
這段腳本會從C2伺服器下載Atomic Stealer(AMOS)一款月費500至1,000美元的macOS資訊竊取工具。
AMOS的掃描範圍涵蓋瀏覽器密碼、SSH金鑰、Telegram對話紀錄、Phantom錢包私鑰、交易所API金鑰,以及桌面和文件資料夾中的所有檔案。攻擊者甚至註冊了多個ClawHub的拼寫變體(clawhub1、clawhubb、cllawhub)進行域名仿冒,而兩個Polymarket主題的技能更包含反向Shell後門。
惡意技能的文件中還嵌入了AI提示詞指令,設計用來欺騙OpenClaw代理本身,讓AI反過來「建議」使用者執行惡意命令。余弦的總結一針見血:「文字不再只是文字,而是指令。」使用AI工具時,應該使用獨立環境。
這正是問題的核心。當使用者信任AI的建議,而AI的建議來源被汙染時,整條信任鏈就斷了。
余弦在同一則警告中特別提到了另一個事件:DeFi借貸協議Moonwell在2月15日因預言機錯誤產生了178萬美元的壞帳。
問題出在一段計算cbETH美元價格的程式碼,它忘了將cbETH/ETH的匯率乘以ETH/USD的價格,導致cbETH被定價為約1.12美元而非實際的2200美元。清算機器人隨即掃過所有以cbETH作為抵押品的倉位,181名借款人損失約268萬美元。
區塊鏈安全審計師Krum Pashov追查發現,這段程式碼的GitHub提交紀錄標註了「Co-Authored-By: Claude Opus 4.6」。NeuralTrust的分析精準描述了這個陷阱:「程式碼看起來是對的,能編譯,也通過了基本單元測試,但在DeFi的對抗性環境中徹底失敗。」
更值得警惕的是,人工審查、GitHub Copilot和OpenZeppelin Code Inspector三道防線全數未能發現那個缺失的乘法步驟。
社群將這起事件稱為「Vibe Coding時代的重大安全事故」。余弦引用這個案例的用意很明確:Web3的安全威脅已經不再侷限於智能合約本身,AI工具正在成為新的攻擊面。
OpenClaw的創辦人Peter Steinberger已經實施社群檢舉機制,達3次舉報即自動隱藏可疑技能。Koi Security也發布了掃描工具Clawdex,但這些都是亡羊補牢。
根本問題在於,AI工具生態系統的預設是「信任」,信任上架的技能是安全的、信任AI的建議是正確的、信任生成的程式碼是可靠的。當這個生態系統管理的是加密錢包和DeFi協議時,預設值錯了,代價就是真金白銀。
備註:VanEck的數據顯示,2025年底加密領域已有超過1萬個AI代理,預計2026年將突破100萬。
相关文章
