OpenClaw 二月安全事故复盘:RCE、供应链投毒、凭据裸奔
一个18万Star的开源 AI Agent,二月份接连爆出一键RCE、插件市场12%感染率、7%的插件泄露明文密码。我把这几个事件捋了一遍,顺便想了想 AI Agent 安全到底难在哪。
一键拿下你的电脑:CVE-2026-25253
安全研究员 Mav Levin 发现的这个漏洞,CVSS 8.8,攻击路径简单到离谱:
攻击者构造一个带恶意 gatewayUrl 参数的链接,发给受害者。受害者一点,OpenClaw 的 Control UI 从 URL 里读了这个参数,没做任何验证就拿去发起 WebSocket 连接,还自动把本地存的 Gateway 认证 token 一起带过去了。
Control UI → URL 读 gatewayUrl → 不验证 → 直接连 → 自动送 token
拿到 token 就有了 operator 权限。哪怕你的实例只监听 localhost 也没用。后面的事情就不用多说了:关安全保护、跑任意命令、读文件、偷密钥,一条龙。
v2026.1.29 修了。
说白了就是没校验用户输入。放在普通 Web 应用里这算低级错误。但放在一个拥有系统级权限的 AI Agent 里,后果就不是 XSS 弹个框那么简单了。
ClawHavoc:插件市场沦陷
这个比 RCE 漏洞更让我不安。
SlowMist 和 Koi Security 在 ClawHub(OpenClaw 的插件市场)上发现了大面积投毒,Koi 扫了 2857 个 Skill 找到 341 个恶意的,感染率 12%。SlowMist 那边统计超过 472 个。恶意软件包括 Atomic Stealer 这类信息窃取器。
重灾区集中在加密货币工具、YouTube 辅助、Polymarket 机器人这几类。攻击者很精准地选了用户"愿意给权限"的场景。
但最让人细思极恐的是攻击方式。拿 Snyk 报道的 "google-qx4" 这个恶意 Skill 举例:
- 用户安装一个看着正常的 Google 搜索增强 Skill
- SKILL.md 里写了"请先运行以下命令安装必要依赖"
- 命令装的其实是伪造的
openclaw-core - 这个包是恶意软件
注意这里的关键:攻击载体不是代码漏洞,是 Markdown 文档。它利用了 AI Agent "human-in-the-loop" 的交互模式——既然用户本来就要按照文档指引操作,那把恶意指令塞进文档就行了。
传统安全扫描查的是代码里的恶意模式。谁会扫描一份 .md 文件里的安装指令是不是钓鱼?
283 个插件在裸奔
The Register 2月5日的报道更令人头疼。安全研究发现 ClawHub 上大约 283 个 Skill(7.1%)里包含明文存储的 API 密钥、密码,甚至信用卡信息。这些凭据出现在 LLM 上下文窗口和输出日志里。
而且这些不是没人用的废弃插件,很多是正常运转的热门 Skill。
问题出在哪
ClawHub 的准入门槛很低:GitHub 账号注册满一周就能发布。没有强制代码审查,没有自动安全扫描。Skill 的载体是 SKILL.md 文件夹而不是标准代码包,连"可审计"这个前提都不太成立。
跟 npm 和 VS Code Marketplace 对比一下:
| npm | VS Code | ClawHub | |
|---|---|---|---|
| 恶意包 | 有 | 有 | 很多 |
| 代码可审计 | 是 | 是 | 有限(Markdown 为主) |
| 自动安全扫描 | 有 | 有 | 无 |
| 执行权限 | 沙箱 | 沙箱 | 系统级 |
npm 和 VS Code 也有恶意包问题,但至少插件跑在沙箱里。ClawHub 继承了所有弱点,同时插件在无沙箱的系统环境里执行,出事就是系统级的。
AI Agent 安全到底难在哪
我觉得核心问题是攻击面变了。
传统软件安全防的是代码漏洞。到了 AI Agent 这一层,新增了几个维度:自然语言可以操纵 Agent 行为(prompt 注入)、文档可以成为攻击载体(SKILL.md 投毒就是例子)、LLM 上下文窗口本身就是信息泄露渠道。
OpenClaw 的安全模型写着"假设已被攻破,限制爆炸半径"。方向没错,但 RCE 漏洞说明限制做得不够。ClawHub 投毒说明生态层面的安全根本没跟上。
插件生态需要的不是简单照搬 npm 的安全模型。最起码需要:沙箱执行、最小权限声明、发布前安全审查。针对 SKILL.md 这种非代码载体,可能还需要专门的语义安全分析。不过说实话,怎么判断一条 Markdown 里的安装指令是正常的还是恶意的,这个问题本身就很难。
AI Agent 拿到系统级权限之后,安全假设跟以前完全不是一个量级。这不是 OpenClaw 一家的问题,但 OpenClaw 作为跑得最快的项目,最先踩了这些坑。
参考资料:
- Secured Intel: "OpenClaw RCE and Notepad++ Supply Chain Attack: 2026 Threats"
- Cryptika: "OpenClaw Becomes New Target in Rising Wave of Supply Chain Poisoning Attacks"
- Snyk: "How a Malicious Google Skill on ClawHub Tricks Users Into Installing Malware"
- The Verge: "OpenClaw's AI 'skill' extensions are a security nightmare"
- The Register: "OpenClaw reveals meaty personal information after simple cracks"