OpenClaw的ClawHub市場上的惡意AI“技能”繞過掃描器分發信息竊取軟件

Unit 42研究人員在2026年2月至5月期間發現了一場針對OpenClaw AI代理生態系統的複雜威脅活動。惡意行為者成功在ClawHub官方市場上發佈危險的“技能”，這些技能能夠繞過包括VirusTotal在內的集成安全掃描器。該活動代表了軟件供應鏈攻擊的演變，專門針對AI代理平台的獨特架構。

威脅概述顯示，OpenClaw是一個AI代理，通過其專用的ClawHub市場分發稱為“技能”的第三方插件。這種模式創建了一種新型的軟件供應鏈。雖然2026年初的早期惡意活動（如ClawHavoc）已被識別並導致增強了VirusTotal和ClawScan的掃描能力，但威脅行為者已經適應並使用了更逃避的技術。

攻擊者發佈看似合法的技能，例如tradingview-ai-indicator-assistant，但其markdown文件包含一個“先決條件塊”，將用户引導至外部網站（paste-site重定向誘餌），該網站託管惡意命令。用户被指示覆制並粘貼該命令到終端以啓用技能。這種用户輔助執行繞過了僅分析技能包本身的自動掃描器。一旦執行，該命令會下載並運行信息竊取負載，導致憑證盜竊和潛在的經濟欺詐。

技術分析表明，攻擊鏈主要依賴於惡意技能提示的用户交互。用户安裝惡意技能後，技能的先決條件指令將用户引導至paste-site，如rentry.co/openclaw-code，偽裝成必需的激活步驟。用户被指示覆制base64編碼字符串並將其管道輸入shell。執行的shell命令通過入口工具傳輸獲取第二級負載，例如從2.26.75.16下載的cluw infostealer。一旦活躍，該信息竊取軟件會收集瀏覽器cookies、加密貨幣錢包數據、系統密碼及其他憑證。

影響評估指出，主要影響是敏感信息的竊取，包括瀏覽器cookies、加密貨幣錢包數據、系統密碼及其他憑證。針對TradingView用户的攻擊表明關注金融市場的個人，增加了直接財務損失的風險。從更廣泛的角度看，該攻擊突顯了AI代理生態系統中嚴重的系統性風險。缺乏強大的沙箱和權限控制為惡意軟件直接進入用户系統創造了可信路徑。

檢測與響應方面，安全團隊應監控OpenClaw代理產生的可疑進程鏈，特別是生成shell解釋器並啓動網絡連接的行為。命令行審計應記錄所有執行進程的參數，併為curl | bash或base64 --decode | bash等模式創建SIEM警報。網絡流量分析應阻止對已知惡意IP和paste-site的連接。文件完整性監控應檢查用户目錄中的意外可執行文件。

緩解措施包括用户培訓，教育AI代理用户關於第三方技能市場的風險，特別是不要從不可信來源複製粘貼命令。應用程序控制應實施允許列表策略，防止未經授權的腳本和二進制文件執行。最小權限原則要求以最低必要權限運行AI代理，並儘可能使用容器化或沙箱技術隔離。網絡過濾應在防火牆和代理上實施出站流量過濾規則，阻止已知惡意IP和rentry.co域名。

時間線顯示，2026年2月1日首次報告惡意技能，5月17日發佈tradingview-ai-indicator-assistant技能，6月1日ClawHub宣佈與NVIDIA合作增強技能篩選，6月23日Unit 42發佈研究。

IOCs包括IP地址91.92.242.30（AMOS C2）、2.26.75.16（cluw負載服務器）、URL rentry.co/openclaw-code、文件哈希b6c7e0bf573b1c7d9d3a05eb08d26579199515b847df984862805f44a7af8007（惡意技能）、818aea6143282b352fdfdc0f3ebf77a36e54eb3befb5cad1a355a99ab97c6aa7（cluw負載）等。