OpenClaw的ClawHub市場上的惡意AI“技能”繞過掃描器分發資訊竊取軟體

Unit 42研究人員在2026年2月至5月期間發現了一場針對OpenClaw AI代理生態系統的複雜威脅活動。惡意行為者成功在ClawHub官方市場上釋出危險的“技能”，這些技能能夠繞過包括VirusTotal在內的整合安全掃描器。該活動代表了軟體供應鏈攻擊的演變，專門針對AI代理平臺的獨特架構。

威脅概述顯示，OpenClaw是一個AI代理，透過其專用的ClawHub市場分發稱為“技能”的第三方外掛。這種模式建立了一種新型的軟體供應鏈。雖然2026年初的早期惡意活動（如ClawHavoc）已被識別並導致增強了VirusTotal和ClawScan的掃描能力，但威脅行為者已經適應並使用了更逃避的技術。

攻擊者釋出看似合法的技能，例如tradingview-ai-indicator-assistant，但其markdown檔案包含一個“先決條件塊”，將使用者引導至外部網站（paste-site重定向誘餌），該網站託管惡意命令。使用者被指示覆制並貼上該命令到終端以啟用技能。這種使用者輔助執行繞過了僅分析技能包本身的自動掃描器。一旦執行，該命令會下載並執行資訊竊取負載，導致憑證盜竊和潛在的經濟欺詐。

技術分析表明，攻擊鏈主要依賴於惡意技能提示的使用者互動。使用者安裝惡意技能後，技能的先決條件指令將使用者引導至paste-site，如rentry.co/openclaw-code，偽裝成必需的啟用步驟。使用者被指示覆制base64編碼字串並將其管道輸入shell。執行的shell命令透過入口工具傳輸獲取第二級負載，例如從2.26.75.16下載的cluw infostealer。一旦活躍，該資訊竊取軟體會收集瀏覽器cookies、加密貨幣錢包資料、系統密碼及其他憑證。

影響評估指出，主要影響是敏感資訊的竊取，包括瀏覽器cookies、加密貨幣錢包資料、系統密碼及其他憑證。針對TradingView使用者的攻擊表明關注金融市場的個人，增加了直接財務損失的風險。從更廣泛的角度看，該攻擊突顯了AI代理生態系統中嚴重的系統性風險。缺乏強大的沙箱和許可權控制為惡意軟體直接進入使用者系統創造了可信路徑。

檢測與響應方面，安全團隊應監控OpenClaw代理產生的可疑程序鏈，特別是生成shell直譯器並啟動網路連線的行為。命令列審計應記錄所有執行程序的引數，併為curl | bash或base64 --decode | bash等模式建立SIEM警報。網路流量分析應阻止對已知惡意IP和paste-site的連線。檔案完整性監控應檢查使用者目錄中的意外執行檔。

緩解措施包括使用者培訓，教育AI代理使用者關於第三方技能市場的風險，特別是不要從不可信來源複製貼上命令。應用程式控制應實施允許列表策略，防止未經授權的指令碼和二進位制檔案執行。最小許可權原則要求以最低必要許可權執行AI代理，並儘可能使用容器化或沙箱技術隔離。網路過濾應在防火牆和代理上實施出站流量過濾規則，阻止已知惡意IP和rentry.co域名。

時間線顯示，2026年2月1日首次報告惡意技能，5月17日釋出tradingview-ai-indicator-assistant技能，6月1日ClawHub宣佈與NVIDIA合作增強技能篩選，6月23日Unit 42釋出研究。

IOCs包括IP地址91.92.242.30（AMOS C2）、2.26.75.16（cluw負載伺服器）、URL rentry.co/openclaw-code、檔案雜湊b6c7e0bf573b1c7d9d3a05eb08d26579199515b847df984862805f44a7af8007（惡意技能）、818aea6143282b352fdfdc0f3ebf77a36e54eb3befb5cad1a355a99ab97c6aa7（cluw負載）等。