OpenClaw 集成 VirusTotal 扫描以检测恶意 ClawHub 技能

Source: The Hacker News

Ravie Lakshmanan
2026年2月08日 人工智能 / 漏洞

OpenClaw 与 VirusTotal 合作

OpenClaw（前身为 Moltbot 和 Clawdbot）已 宣布 与 Google 所拥有的 VirusTotal 建立合作伙伴关系，以扫描上传至 ClawHub（其技能市场）的技能。这是加强代理生态系统安全的更广泛努力的一部分。

“所有发布到 ClawHub 的技能现在都使用 VirusTotal 的威胁情报进行扫描，包括其全新的 Code Insight 功能，” OpenClaw 创始人 Peter Steinberger 与 Jamieson O’Reilly、Bernardo Quintero 共同表示。“这为 OpenClaw 社区提供了额外的安全层。”

扫描工作原理

1. 为每个技能生成唯一的 SHA‑256 哈希。
2. 将该哈希与 VirusTotal 的数据库进行交叉检查。
3. 若未找到匹配项，则将技能包上传至 VirusTotal，使用 VirusTotal Code Insight 进行更深入的分析。

• 获得 “benign”（良性） Code Insight 判定的技能将自动获批。
• 被标记为 suspicious（可疑） 的技能会收到警告。
• Malicious（恶意） 技能将被阻止下载。

OpenClaw 还会 每日 重新扫描所有活跃技能，以捕捉先前干净但后来变为恶意的情况。

维护者提醒，VirusTotal 扫描 “并非灵丹妙药”。 巧妙隐藏的提示注入负载仍可能逃过检测。

附加安全举措

• 发布全面的威胁模型、公开的安全路线图以及正式的安全报告流程。
• 公布对整个代码库的安全审计细节。

这些措施是在以下报告揭露 ClawHub 上数百个恶意技能之后采取的：

• The Hacker News – Researchers find 341 malicious ClawHub skills
• Bitdefender Labs – Hidden payloads in OpenClaw skills
• Cisco Blog – AI agents as a security nightmare

OpenClaw 已添加报告选项，允许已登录用户标记可疑技能。分析显示，这些技能常伪装成合法工具，实际上暗中：

• 窃取数据
• 注入后门以实现远程访问
• 安装窃取型恶意软件

“具备系统访问权限的 AI 代理可能成为绕过传统数据防泄漏、代理和终端监控的隐蔽数据泄露渠道，”Cisco 指出。“模型还可能成为执行编排者，提示本身即成为指令，传统安全工具难以捕获。”

为什么安全问题很重要

OpenClaw 这款开源的具备自主能力的 AI 助手以及 Moltbook——一个类似 Reddit 的社交网络，允许自主 AI 代理相互交流——的快速崛起，加剧了安全担忧：

• 技能集成 让代理拥有深度系统访问权限，并能够处理来自不可信来源的数据。
• 这扩大了 攻击面，使平台成为 “代理特洛伊木马”，用于数据外泄和其他恶意行为。
• Backslash Security 将 OpenClaw 描述为 “有手的 AI”。

“与传统软件严格按照代码指令执行不同，AI 代理会解释自然语言并决定要采取的行动，” OpenClaw 解释道。“它们模糊了用户意图与机器执行之间的界限。它们可以通过语言本身被操控。”

技能的强大——从控制智能家居设备到管理财务——可能被滥用来：

• 外泄敏感信息
• 执行未授权的指令
• 代表受害者发送消息
• 在未获同意的情况下下载并运行额外负载

当 OpenClaw 在员工终端 未经正式 IT 或安全批准 部署时，其提升的权限可能导致：

• 获得 Shell 访问
• 任意数据移动
• 超出标准安全控制的网络连接

这为企业带来了新一类 影子 AI 风险。

参考文献

• OpenClaw 博客 – VirusTotal 合作伙伴关系公告
• Trust OpenClaw – 安全路线图与威胁模型
• Hidden Layer – 致命三联拳及其防御方法
• NOMA Security – Moltbot：具备代理能力的特洛伊木马
• Backslash Security – Clawdbot/Moltbot：不仅是另一个 AI 助手，而是拥有实际操作能力的 AI
• Varonis – 企业的影子 AI 风险

Source: …

OpenClaw / Moltbot 的安全问题

“法律和类似的工具会在你的组织中出现，无论你是否批准它们，” Astrix 安全研究员 Tomer Yahalom 说。 “员工会因为它们真的很有用而安装它们。唯一的问题是你是否会知道它们的存在。”

以下是最近几天出现的最突出安全问题。

• 误分类的代理流量 – 早期版本中已修复的一个问题可能导致代理流量被误识别为本地流量，从而绕过某些面向互联网的实例的身份验证。
• 明文凭证存储与不安全的编码 – “OpenClaw 将凭证以明文形式存储，使用不安全的编码模式，包括直接对用户输入进行 eval，且没有隐私政策或明确的责任归属，” OX Security 的 Moshe Siman Tov Bustan 和 Nir Zadok 说。 “常见的卸载方法会留下敏感数据——彻底撤销访问权限比大多数用户想象的要困难得多。”
• 零点击攻击 – 零点击漏洞利用 OpenClaw 的集成，在受害者端点植入后门，实现持久控制，只要 AI 代理处理看似无害的文档即可。
  阅读更多 →
• 通过网页的间接提示注入 – 当网页被解析为一个无害的提示，请求 LLM 对页面进行摘要时，注入的代码会导致 OpenClaw 向 ~/.openclaw/workspace/HEARTBEAT.md 追加攻击者控制的指令，并静默等待外部服务器的进一步命令。
  阅读更多 →
• 大规模技能库缺陷 – 对 ClawHub 市场上 3,984 个技能的安全分析发现 283（约 7.1 %）存在关键安全缺陷，这些缺陷会通过 LLM 的上下文窗口和输出日志以明文形式泄露敏感凭证。
  阅读更多 →
• 恶意技能克隆 – Bitdefender 报告称，恶意技能常被克隆并以略有不同的名称大规模重新发布，负载通过 glot.io 等粘贴服务以及公共 GitHub 仓库进行托管。
  阅读更多 →
• 一键远程代码执行（已修补） – 已修补的漏洞本可让攻击者诱导用户访问恶意网页，导致 Gateway Control UI 通过 WebSocket 通道泄露 OpenClaw 身份验证令牌，并随后在主机上执行任意命令。
  阅读更多 →
• 默认开放网关 – OpenClaw 的网关默认 绑定到 0.0.0.0:18789，在任何网络接口上暴露完整 API。Censys 数据显示，截至 2026 年 2 月 8 日，超过 30 000 个实例在互联网上可访问，尽管大多数仍需要令牌才能交互。
  阅读更多 →
• 假设的 WhatsApp 攻击 – 精心构造的 WhatsApp 消息可以嵌入提示注入负载，窃取 .env 和 creds.json 文件（其中包含凭证、API 密钥和会话令牌）从而攻击暴露的 OpenClaw 实例。
  阅读更多 →
• Supabase 数据库配置错误（Moltbook） – Moltbook 客户端 JavaScript 暴露了 Supabase 数据库，泄露了每个已注册代理的秘密 API 密钥。根据 Wiz 的报告，此次泄露涉及 150 万个 API 令牌、35 000 个电子邮件地址以及私有…（后文省略）。

Source: … (保持原样，不翻译)

e messages**.
Read more →

• 平台层面的滥用 – 威胁行为者利用 Moltbook 的机制放大影响力，将其他代理引导至包含提示注入的恶意线程，从而操纵行为并窃取敏感数据或加密货币。
• 缺乏防护措施 – “Moltbook 可能无意中也创建了一个实验室，在该实验室中，代理（可能是高价值目标）不断处理和交互不可信的数据，而平台并未设置防护措施——这本就是设计如此，” Zenity Labs 指出。
  Read more →
• 工具沙箱默认关闭 – “第一个，也许是最严重的问题是 OpenClaw 依赖配置的语言模型来做许多安全关键决策，” HiddenLayer 研究员 Conor McCauley、Kasimir Schulz、Ryan Tracey 和 Jason Martin 警告道。“除非用户主动启用 OpenClaw 的 基于 Docker 的工具沙箱 功能，否则系统范围的完全访问权限将是默认状态。”
  Docker sandboxing docs →

![ThreatLocker‑d](https://thehackernews.uk/ztw-hands-on-d/2xl/AVvXsEhC66R4wPZ8qksTJukqlCCmrHCUX65DnpWW1nKnkOhy0Poe219tacbU6h09qEfUgRHxoObBazf3SVJ4OAd_iVd0EFecj-vskZSfroQ7rh0XyxQd6Ep_zNgqDW95YU4zG1Gpin8rHPK8Rqu_1KV7tf-G-7JJhxOVHhRJDWnj0qfq82uZSAvAG2rxK-Fe5fwd/s728-e100/ThreatLocker-d.png)

AI 安全社区识别出的其他架构和设计问题包括：OpenClaw 未能过滤包含控制序列的不可信内容、对间接提示注入的防护措施无效、可修改的记忆和系统提示会持续到后续聊天会话、API 密钥和会话令牌以明文存储、以及在执行工具调用前未获得明确的用户批准。

在上周发布的一份报告中，Permiso Security 认为 OpenClaw 生态系统的安全性比应用商店和浏览器扩展市场更为关键，因为这些代理能够广泛访问用户数据。

“AI 代理获取了你整个数字生活的凭证，”安全研究员 Ian Ahl 指出。
“而且不同于在沙箱中运行、具备一定隔离性的浏览器扩展，这些代理拥有你授予的全部权限。”

“技能市场进一步加剧了风险。当你安装一个恶意的浏览器扩展时，你只会危及一个系统；而当你安装一个恶意的代理技能时，你可能会危及该代理拥有凭证的所有系统。”

与 OpenClaw 相关的安全问题清单之长，已促使中国工业和信息化部发布警报，提醒用户对配置错误的实例采取防护措施，以防止网络攻击和数据泄露，路透社报道。

“当代理平台的传播速度超过安全实践的成熟度时，错误配置就会成为主要攻击面，” Ensar Seker（SOCRadar 首席信息安全官）通过电子邮件对 The Hacker News 说。
“风险不在于代理本身，而在于将自主工具暴露在公共网络上，却没有硬化的身份认证、访问控制和执行边界。”

“值得注意的是，中国监管机构明确指出配置风险，而不是直接禁用该技术。这与……”