The Last 24 Hours | 安全无小事

OpenClaw 集成 VirusTotal 扫描以检测恶意 ClawHub 技能

2026/2/8 安全事件 The Hacker News

OpenClaw(前身为 Moltbot 和 Clawdbot)宣布与谷歌旗下的 VirusTotal 合作,对上传至其技能市场 ClawHub 的技能进行扫描,此举是加强代理生态系统安全的更广泛努力的一部分。

OpenClaw 创始人 Peter Steinberger 与 Jamieson O'Reilly、Bernardo Quintero 表示:“所有发布到 ClawHub 的技能现在都使用 VirusTotal 的威胁情报进行扫描,包括其全新的 Code Insight 功能。这为 OpenClaw 社区提供了额外的安全层。”

该流程基本上为每个技能生成唯一的 SHA-256 哈希,并在 VirusTotal 数据库中进行比对。如果未找到匹配项,则将技能包上传至恶意软件扫描工具,使用 VirusTotal Code Insight 进行进一步分析。

获得 “良性” Code Insight 判定的技能将被 ClawHub 自动批准;标记为可疑的则会加上警告。任何被认定为恶意的技能将被阻止下载。OpenClaw 还表示,所有活跃技能将每日重新扫描,以发现先前清洁的技能后续变为恶意的情况。

不过,OpenClaw 维护者也提醒,VirusTotal 扫描并非万能,仍有可能出现使用巧妙隐藏的提示注入负载的恶意技能逃过检测。

除了与 VirusTotal 的合作外,该平台还计划发布完整的威胁模型、公开的安全路线图、正式的安全报告流程,以及其整个代码库的安全审计细节。

此举是在此前有报告发现 ClawHub 上存在数百个恶意技能的背景下进行的,促使 OpenClaw 增加了举报功能,允许已登录用户标记可疑技能。多项分析显示,这些技能伪装成合法工具,实则隐藏恶意功能,用于窃取数据、植入远程访问后门或安装窃取型恶意软件。

Cisco 上周指出:“拥有系统访问权限的 AI 代理可能成为绕过传统数据防泄漏、代理和终端监控的隐蔽数据泄露渠道。其次,模型本身也可能成为执行编排者,提示本身即为指令,传统安全工具难以捕获。”

近期 OpenClaw 这款开源代理式人工智能助手以及其衍生的社交网络 Moltbook(在该平台上基于 OpenClaw 构建的自主 AI 代理以 Reddit 式的方式相互交流)的病毒式流行,引发了安全担忧。

虽然 OpenClaw 作为自动化引擎可触发工作流、与在线服务交互并跨设备运行,但技能拥有的深度访问权限,加之其能够处理来自不可信来源的数据,可能导致恶意软件和提示注入等风险。

换言之,这些集成虽便利,却显著扩大了攻击面,增加了代理所接受的不可信输入,使其成为 “代理特洛伊木马”。Backslash Security 将 OpenClaw 描述为 “拥有双手的 AI”。

OpenClaw 表示:“与严格按照代码执行的传统软件不同,AI 代理解释自然语言并自行决定行动。它们模糊了用户意图与机器执行之间的界限,甚至可以被语言本身操控。”

OpenClaw 亦承认,技能赋予的强大能力——从控制智能家居到管理财务——可能被不法分子滥用,他们利用代理对工具和数据的访问权限窃取敏感信息、执行未授权指令、冒充受害者发送信息,甚至在受害者不知情或未授权的情况下下载并运行额外负载。

更甚的是,OpenClaw 正在越来越多地被部署在员工终端上,且往往缺乏正式的 IT 或安全审批,这些代理的高权限可能进一步实现 shell 访问、数据转移以及超出标准安全控制的网络连接,形成企业新的 Shadow AI 风险类别。

Astrix Security 研究员 Tomer Yahalom 表示:“OpenClaw 及类似工具会出现在你的组织中,无论你是否批准。员工会因为它们的实用性而安装,唯一的问题是你是否知晓。”

近期凸显的若干显著安全问题如下——

  • 早期版本中发现的已修复问题,可能导致代理流量被误判为本地,从而绕过对某些面向互联网实例的身份验证。
  • OX Security 的 Moshe Siman Tov Bustan 与 Nir Zadok 表示:“OpenClaw 将凭证明文存储,使用包括直接 eval 用户输入在内的不安全编码模式,且缺乏隐私政策和明确的责任追究。常见的卸载方式会留下敏感数据——彻底撤销访问权限比大多数用户想象的要困难得多。”
  • 一种零点击攻击利用 OpenClaw 的集成,在 AI 代理处理看似无害的文档时在受害者终端植入后门,实现持久控制,并执行间接提示注入负载,使其能够响应攻击者控制的 Telegram 机器人消息。
  • 网页中嵌入的间接提示注入,当作为无害提示请求大语言模型(LLM)概括页面内容时,导致 OpenClaw 将攻击者控制的指令追加至 ~/.openclaw/workspace/HEARTBEAT.md 文件,并静默等待外部服务器的进一步指令。
  • 技能市场进一步放大风险。安装恶意浏览器扩展只会危及单一系统,而安装恶意代理技能则可能危及该代理拥有凭证的所有系统。
  • OpenClaw 相关的安全问题清单已促使中国工业和信息化部发布警示,提醒用户对配置错误的实例采取防护,以防范网络攻击和数据泄露,路透社报道。
  • SOCRadar 首席信息安全官 Ensar Seker 通过邮件告诉 The Hacker News:“当代理平台的流行速度超过安全实践的成熟度时,错误配置成为主要攻击面。风险不在于代理本身,而在于将自主工具暴露于公共网络而缺乏坚固的身份、访问控制和执行边界。”
  • 值得注意的是,中国监管机构明确指出配置风险,而非禁止该技术。这与防御者已知的情况相符:代理框架既提升生产力,也扩大冲击范围。单一暴露的端点或过度宽松的插件即可将 AI 代理变成攻击者的无意自动化层。

AI 安全公司指出的其他架构和设计问题包括:OpenClaw 未能过滤包含控制序列的不可信内容,对间接提示注入的防护措施无效,可修改的记忆和系统提示会在后续聊天会话中持续存在,API 密钥和会话令牌以明文存储,以及在执行工具调用前缺乏明确的用户授权。

上周发布的报告中,Permiso Security 认为,鉴于代理对用户数据的广泛访问,OpenClaw 生态系统的安全比应用商店和浏览器扩展市场更为关键。

安全研究员 Ian Ahl 指出:“AI 代理获取了你整个数字生活的凭证。与在沙箱中运行、具备一定隔离的浏览器扩展不同,这些代理以你授予的全部权限运行。”

“技能市场进一步放大了风险。安装恶意浏览器扩展只会危及单一系统,而安装恶意代理技能则可能危及该代理拥有凭证的所有系统。”