OpenClaw的ClawHub市场上的恶意AI“技能”绕过扫描器分发信息窃取软件

Unit 42研究人员在2026年2月至5月期间发现了一场针对OpenClaw AI代理生态系统的复杂威胁活动。恶意行为者成功在ClawHub官方市场上发布危险的“技能”，这些技能能够绕过包括VirusTotal在内的集成安全扫描器。该活动代表了软件供应链攻击的演变，专门针对AI代理平台的独特架构。

威胁概述显示，OpenClaw是一个AI代理，通过其专用的ClawHub市场分发称为“技能”的第三方插件。这种模式创建了一种新型的软件供应链。虽然2026年初的早期恶意活动（如ClawHavoc）已被识别并导致增强了VirusTotal和ClawScan的扫描能力，但威胁行为者已经适应并使用了更逃避的技术。

攻击者发布看似合法的技能，例如tradingview-ai-indicator-assistant，但其markdown文件包含一个“先决条件块”，将用户引导至外部网站（paste-site重定向诱饵），该网站托管恶意命令。用户被指示复制并粘贴该命令到终端以启用技能。这种用户辅助执行绕过了仅分析技能包本身的自动扫描器。一旦执行，该命令会下载并运行信息窃取负载，导致凭证盗窃和潜在的经济欺诈。

技术分析表明，攻击链主要依赖于恶意技能提示的用户交互。用户安装恶意技能后，技能的先决条件指令将用户引导至paste-site，如rentry.co/openclaw-code，伪装成必需的激活步骤。用户被指示复制base64编码字符串并将其管道输入shell。执行的shell命令通过入口工具传输获取第二级负载，例如从2.26.75.16下载的cluw infostealer。一旦活跃，该信息窃取软件会收集浏览器cookies、加密货币钱包数据、系统密码及其他凭证。

影响评估指出，主要影响是敏感信息的窃取，包括浏览器cookies、加密货币钱包数据、系统密码及其他凭证。针对TradingView用户的攻击表明关注金融市场的个人，增加了直接财务损失的风险。从更广泛的角度看，该攻击突显了AI代理生态系统中严重的系统性风险。缺乏强大的沙箱和权限控制为恶意软件直接进入用户系统创造了可信路径。

检测与响应方面，安全团队应监控OpenClaw代理产生的可疑进程链，特别是生成shell解释器并启动网络连接的行为。命令行审计应记录所有执行进程的参数，并为curl | bash或base64 --decode | bash等模式创建SIEM警报。网络流量分析应阻止对已知恶意IP和paste-site的连接。文件完整性监控应检查用户目录中的意外可执行文件。

缓解措施包括用户培训，教育AI代理用户关于第三方技能市场的风险，特别是不要从不可信来源复制粘贴命令。应用程序控制应实施允许列表策略，防止未经授权的脚本和二进制文件执行。最小权限原则要求以最低必要权限运行AI代理，并尽可能使用容器化或沙箱技术隔离。网络过滤应在防火墙和代理上实施出站流量过滤规则，阻止已知恶意IP和rentry.co域名。

时间线显示，2026年2月1日首次报告恶意技能，5月17日发布tradingview-ai-indicator-assistant技能，6月1日ClawHub宣布与NVIDIA合作增强技能筛选，6月23日Unit 42发布研究。

IOCs包括IP地址91.92.242.30（AMOS C2）、2.26.75.16（cluw负载服务器）、URL rentry.co/openclaw-code、文件哈希b6c7e0bf573b1c7d9d3a05eb08d26579199515b847df984862805f44a7af8007（恶意技能）、818aea6143282b352fdfdc0f3ebf77a36e54eb3befb5cad1a355a99ab97c6aa7（cluw负载）等。