ClawHavoc:800 个恶意技能教给我们的 AI 代理安全教训
2026 年 2 月,研究人员在 ClawHub 发现 800+ 个恶意技能。完整技术分析:攻击方式、漏洞利用链、应急响应,以及由此诞生的安全架构。
847
Compromised Skills
CVSS 9.9
Max Severity
48 Hours
Patch Response
发现
2 月 3 日,安全研究员 @llmattack 在 X 上发帖:ClawHub 中名为 'smart-notes-organizer'(2,400 次安装)的技能通过 DNS 隧道悄悄窃取 Telegram 聊天记录到 C2 服务器。
规模令人震惊
全面审计揭示 12 个类别中 847 个被入侵技能。攻击者很狡猾——许多载荷在正常运行 72 小时后才激活,逃避简单代码审查。受影响用户估计 23,000。
攻击向量分解
数据窃取 (412 个技能)
高Telegram/WhatsApp 消息、文件内容、剪贴板。最常见技术:DNS 隧道绕过防火墙。
加密货币挖矿 (189 个)
中低强度 XMR 挖矿 (5-8% CPU),空闲时运行。僵尸网络每月为攻击者产生约 $12K。
提示注入 (134 个)
高运行时修改 IDENTITY.md 改变行为。例如将财务查询重定向到钓鱼 URL。
凭据收割 (112 个)
严重拦截 API 密钥、OAuth 令牌和环境变量。
CVE-2026-25253:一键远程代码执行
最严重的发现是 CVE-2026-25253(CVSS 8.8):技能可逃脱 gVisor 沙箱在宿主系统执行任意命令。
# 攻击链(简化): # 1. 技能声明正常工具 TOOLS.md: "file_reader — 读取本地文件" # 2. 利用路径遍历 + 符号链接解析 real_path = os.path.realpath(path) # 逃出沙箱根目录 # 3. 结合 CVE-2026-28363 (safeBins 绕过) # /proc/self/exe → 完整二进制访问 # 4. 宿主系统任意命令执行 # 影响: ~12,000 用户 | 修复: 发现后 6 小时
应急响应时间线
新安全架构(ClawHavoc 之后)
安全分层(纵深防御): 第1层: 提交 ├── VirusTotal 扫描 (63 引擎) ├── 静态分析 (SAST) + 依赖审计 └── 作者身份验证 (GPG 签名) 第2层: 沙箱 ├── gVisor (已修补) — 无主机文件系统访问 ├── 网络策略 — 出站限制 └── Seccomp BPF — 系统调用过滤 第3层: 运行时 ├── 行为监控 — 异常检测 ├── 数据流追踪 — DLP 规则 └── 远程终止开关 第4层: 社区 ├── 已验证发布者徽章 ├── 漏洞赏金计划 ($50K) └── 特权技能强制代码审查
用户安全清单
修补两个关键 CVE
扫描已安装技能
移除不必要的权限
隔离每个技能
如果在 2/4 前安装过任何技能
对行业的启示
代理市场是新的应用商店
如同 iOS/Android 恶意软件潮后组建安全团队,AI 代理平台需要专门的安全基础设施。
沙箱必要但不充分
gVisor 阻止了 99% 的攻击。但那 1% 是灾难性的。纵深防御是唯一可行方案。
提示注入是 AI 的 SQL 注入
运行时修改 IDENTITY.md 等同于 SQL 注入。修复:启动后 IDENTITY.md 只读。
延迟载荷击败代码审查
正常运行 72 小时后才激活的恶意代码逃避人工审查。自动行为分析是必需的。
常见问题
Q1. 我的数据被泄露了吗?
Q2. ClawHub 技能现在安全吗?
Q3. 和 npm/PyPI 供应链攻击比如何?
「ClawHavoc 不是 OpenClaw 的失败——这是一个成熟时刻。每个重要平台都会面对这个。重要的是响应方式。」——安全顾问委员会