针对OpenClaw AI Agent市场的恶意 skills 浪潮暴露出软件供应链安全的新威胁前沿。攻击者正利用 ClawHub skill 市场向 AI Agent 环境推送有害代码,窃取数据并实施传统安全工具未能检测的金融欺诈计划。
OpenClaw是一种运行来自 ClawHub 专用市场第三方 skills 的 AI Agent。这些 skills 是基于 Markdown 的软件包,具有对本地系统的深度访问权限。当安装恶意 skill 时,它可以完全控制 Agent 的身份,并通过 Agent 自身已验证的会话执行未经授权的操作,整个过程无需传统漏洞利用。
恶意 skills 绕过自动化检测Unit 42 研究人员在提交给网络安全新闻(CSN)的报告中指出,他们在 2026 年 2 月至 5 月的分析中发现了 5 个绕过 ClawHub 集成的 VirusTotal 和 ClawScan 检测的恶意 skills。
Bitdefender Labs 此前曾指出,平台上约 17% 的 skills 携带恶意负载。Koi Security 的 ClawHavoc 披露文件记录了市场上 341 个恶意 skills。这些威胁在引入自动化扫描后仍然存在,表明 AI Agent 生态系统面临的风险远未解决。
伪装成合法工具的恶意 skills其中两个威胁是伪装成 macOS 版 TradingView 生产力助手的 skills。两者都嵌入了恶意先决条件块,指示 Agent 访问 rentry[.]co/openclaw-code 上的粘贴站点重定向诱饵,其中包含等待在终端窗口中运行的 Base64 编码命令。
该命令随后从 IP 地址为 2.26.75[.]16 的远程服务器拉取名为 cluw 的 macOS 信息窃取程序。
另一个名为 omnicogg 的 skill 将 AMOS 恶意软件投放器嵌入 README.md 文件中,然后用 22MB 的垃圾字符填充,以超过大多数扫描管道强制执行的文件大小限制。
VirusTotal 和 ClawScan 都返回了"干净"的判定,意味着该 skill 在隐藏活动恶意代码的同时仍可自由获取。
AI Agent 金融欺诈与新型利用除了数据窃取,研究人员还发现两个滥用 AI Agent 咨询权限谋取经济利益的 skills。money-radar skill 伪装成面向中国大陆、香港和新加坡用户的金融产品顾问。
每次调用时,它会静默从 laosji[.]net 获取有效负载,并在生成的每条推荐中嵌入联盟跟踪链接。
安装的 Agent 将 SOL 加密货币汇集到操作者的钱包中,随后操作者以最低可用价格购买 SENDIT meme 代币,然后在 pump[.]fun 上推出。外部买家可能将这种协调的 AI 活动误认为有机需求,使操作者能够将廉价头寸抛售给二级买家获利。
安全建议与应对措施这些案例代表了首批有记录的自主 AI Agent 被用于协调金融欺诈的实例。研究人员建议:
验证发布者来源
逐行审计 skill 源文件
监控出站网络流量是否存在与未记录端点的连接 任何与 skill 声明目的不符的行为都应标记为潜在的入侵指标(IoC)。
入侵指标(IoCs):
注:IP地址和域名已故意失效(如使用[.]代替.),以防止意外解析或超链接。仅在 MISP、VirusTotal 或 SIEM 等受控威胁情报平台中恢复有效格式。