信息窃取者窃取 OpenClaw AI 代理配置文件和网关令牌

网络安全研究人员披露，他们检测到一起信息窃取恶意软件感染案例，该恶意软件成功外泄受害者的 OpenClaw（前身为 Clawdbot 和 Moltbot）配置环境。

“此发现标志着信息窃取行为演进的一个重要里程碑：从窃取浏览器凭证转向收集个人 AI 代理的‘灵魂’和身份，” Hudson Rock 说道。

Hudson Rock 的首席技术官 Alon Gal 向 The Hacker News 表示，依据感染细节判断，该窃取程序很可能是 Vidar 的一个变种。Vidar 是一种自 2018 年底起活跃的现成信息窃取工具。

该安全公司指出，数据捕获并非通过恶意软件内部的定制 OpenClaw 模块实现，而是通过一种“广泛文件抓取例程”，该例程会搜索特定文件扩展名和包含敏感数据的目录名称。

涉及的文件包括：

• openclaw.json，包含 OpenClaw 网关令牌的详细信息，以及受害者的电子邮件（已脱敏）和工作区路径。
• device.json，包含 OpenClaw 生态系统中用于安全配对和签名操作的加密密钥。
• soul.md，记录代理的核心运行原则、行为准则和伦理边界。

值得注意的是，网关认证令牌的被盗可能使攻击者在端口暴露的情况下远程连接受害者本地的 OpenClaw 实例，甚至在向 AI 网关发起的认证请求中冒充客户端。

“虽然恶意软件可能在寻找常规‘机密’，但它意外地获取了用户 AI 助手的完整运行上下文，” Hudson Rock 补充道。“随着 OpenClaw 等 AI 代理在专业工作流中的深度集成，信息窃取开发者很可能会发布专门用于解密和解析这些文件的模块，正如他们今天对 Chrome 或 Telegram 所做的那样。”

此披露正值 OpenClaw 因安全问题而与 VirusTotal 合作，对上传至 ClawHub 的恶意技能进行扫描、建立威胁模型并添加审计潜在配置错误的功能。

上周，OpenSourceMalware 团队详细说明了一场持续的 ClawHub 恶意技能活动，该活动采用在仿冒 OpenClaw 网站上托管恶意软件并将技能仅用作诱饵的新技术，而不是将有效载荷直接嵌入 SKILL.md 文件中。

“从嵌入式载荷转向外部恶意软件托管显示了威胁行为者在适应检测能力，” 安全研究员 Paul McCarty 说。“随着 AI 技能注册库的增长，它们正日益成为供应链攻击的目标。”

另一项由 OX Security 强调的安全问题涉及 Moltbook——一个专为 AI 代理（主要运行在 OpenClaw 上）设计的类 Reddit 论坛。研究发现，一旦在 Moltbook 上创建 AI 代理账户，就无法删除，这意味着用户无法自行删除账户及其关联数据。

此外，SecurityScorecard 的 STRIKE 威胁情报团队的分析也发现了数十万暴露的 OpenClaw 实例，可能使用户面临远程代码执行（RCE）风险。

假冒 OpenClaw 网站托管恶意软件

“RCE 漏洞允许攻击者向服务发送恶意请求，在底层系统上执行任意代码，” 该网络安全公司表示。“当 OpenClaw 具备发送邮件、调用 API、访问云服务或内部资源的权限时，RCE 漏洞可能成为攻击的枢纽。攻击者只需利用一个已授权的暴露服务即可实现横向渗透。”

自 2025 年 11 月首次亮相以来，OpenClaw 的关注度呈病毒式增长。截至撰写本文时，该开源项目在 GitHub 上已获得超过 20 万颗星。2026 年 2 月 15 日，OpenAI CEO Sam Altman 表示，OpenClaw 创始人 Peter Steinberger 将加入 OpenAI，并称 OpenClaw 将作为一个开源项目继续得到 OpenAI 的支持。