GitHub上最受欢迎的AI代理是安全灾难

Source: Dev.to

概览

2025年11月，奥地利开发者 Peter Steinberger 将一个周末项目推送到 GitHub。到2026年2月，它已经：

• 200 000 颗星
• 42 000 个在公共互联网上暴露的实例
• 一个被 1 184 个恶意软件包 污染的供应链
• 一个 CVE，使攻击者只需一次点击即可接管任何部署

随后 OpenAI 雇用了他。

OpenClaw —— 前身为 Clawdbot，后改名为 Moltbot —— 是 GitHub 历史上增长最快的开源项目。它是一个自主 AI 代理，能够管理日历、预订航班、发送电子邮件、执行代码，并在第三方服务之间自动化任务。单周内有两百万开发者访问了其文档。Meta、Google 以及数十家《财富》500 强公司发现员工在企业终端上运行它。Cisco 对其评价为：

“从能力角度来看具有突破性”，以及 “从安全角度来看是绝对的噩梦”。

这两种评估都是正确的。

Source: …

ClawHavoc 攻击

在 2026 年 1 月 25 日，Koi Security 的安全研究员 Oren Yomtov 对 ClawHub（OpenClaw 官方技能市场）上列出的全部 2 857 个技能进行审计。他发现了 341 条恶意条目，其中 335 条属于他命名为 ClawHavoc 的单一协同攻击活动。

• 到 2 月 16 日，确认的恶意技能数量已上升至 超过 1 184 条。
• Bitdefender 的独立分析在扩展至 10 700 条技能的注册表中，将该数字估计为 约 900 条——约占生态系统的 20 %。

此次攻击是 社会工程学 手段，而非利用漏洞。每个恶意技能都使用了专业的文档、可信的名称，如 solana-wallet-tracker 和 youtube-summarize-pro，以及数百行看似合法的 README。隐藏在 “Prerequisites”（先决条件）章节中的，是下载辅助工具或运行终端命令以 “修复依赖” 的指示。

• macOS – 该命令会安装 Atomic Stealer (AMOS)，一种常见的信息窃取工具，可窃取浏览器凭据、SSH 密钥、Telegram 会话、加密钱包和钥匙串。
• Windows – 它会投放键盘记录器和远程访问木马。

这些负载被嵌入到本来可正常运行的代码中。这是 npm 与 PyPI 风格的供应链投毒，只是被移植到一个默认拥有系统级访问权限的平台上。

一键杀链

在 2026年1月29日，OpenClaw 披露了 CVE‑2026‑25253，在 CVSS 评分中为 8.8。这是一种通过跨站 WebSocket 劫持实现的一键远程代码执行漏洞。

杀链步骤

1. 开发者访问恶意 URL。
2. 他们的身份验证令牌在毫秒内被窃取。
3. 攻击者使用被盗令牌通过其自身的配置 API 禁用代理的沙箱。
4. 他们从 Docker 容器逃逸到宿主机，获得完整的远程代码执行权限。

网关 不需要 面向互联网——任何点击链接的已认证用户都会被攻陷。

同一天，OpenClaw 还发布了另外两份针对命令注入漏洞的高危通告。

42 000 开放前门

• Censys 追踪到 OpenClaw 的公开暴露在一月下旬的六天内从 1 000 增长到 21 000 实例。
• 安全研究员 Maor Dayan 的独立研究发现有 42 665 个暴露实例，其中 5 194 被主动验证为存在漏洞。93.4 % 存在身份验证绕过条件。

这些并非测试部署。Astrix Security 发现多家公司员工在企业终端部署了 OpenClaw，且配置可能让攻击者远程访问 Salesforce、GitHub 和 Slack。Thebiggish 的研究显示，企业中 22 % 的 OpenClaw 实例是未授权的——由个人员工进行的暗部署，其中超过一半拥有对内部系统的特权访问。

• Meta 已将 OpenClaw 从其企业网络中禁用。
• 思科对一项流行技能 “What Would Elon Do?” 的分析发现了 九 个漏洞——其中两个为关键级，五个为高危级——包括通过 curl 命令进行的静默数据泄露。

窃取代理的灵魂

在 2026 年 2 月 13 日，网络安全研究人员披露，一款信息窃取工具成功导出了受害者的完整 OpenClaw 配置——不仅仅是浏览器密码，而是代理的身份信息：其 API 密钥、记忆文件、人格配置以及网关令牌。

研究人员称其为：

“信息窃取行为演进的一个重要里程碑：从窃取浏览器凭证转向收割个人 AI 代理的‘灵魂’和身份。”

该变种是 Vidar，一种知名的凭证窃取工具，已被更新以专门针对 OpenClaw 的 .openclaw/ 目录进行攻击。拥有这些数据后，攻击者不仅能访问受害者的账户；他们还能成为受害者的代理——拥有所有权限、所有记忆以及所有工具连接。

Source: …

90‑天篇章

时间线

• 2025年11月 – Peter Steinberger 将一个周末项目推送到 GitHub。
• 2026年1月 – 135 000颗星；一周内文档访问量达200万；ClawHub 上线，拥有 2 857 个技能。
• 1月下旬 – 21 000 个暴露实例；发现 341 个恶意技能；CVE‑2026‑25253 被披露。
• 2月2日 – CNBC 将 OpenClaw 描述为“在全球引发热议和恐慌的 AI 代理”。
• 2月13日 – 首例信息窃取者确认窃取 OpenClaw 代理配置。
• 2月15日 – Sam Altman 宣布 Peter Steinberger 加入 OpenAI。OpenClaw 转为独立基金会。Altman 称 Steinberger 为“拥有众多惊人未来构想的天才”。
• 2月16日 – 确认 1 184 个恶意技能；Meta 将 OpenClaw 从企业网络中禁用。

90天 从首次提交到 OpenAI 收购——这段期间充满了爆炸性增长、广泛曝光以及一连串安全灾难。

# The First AI Agent Supply Chain Attack Ever Documented

Why This Matters

OpenClaw 并不是一次失败，而是一次预览。每个 AI 代理框架都会面临同样的情况：一个用于扩展的公共市场，一个假设诚信的信任模型，以及一个比安全审查快几个月的采用曲线。

ClawHub 就是新的 npm。Skills 是新的包。而安装这些包的代理不仅在浏览器沙箱中运行 JavaScript——它们还能访问你的文件系统、电子邮件、凭证以及公司内部的 API。

Steinberger 构建了开发者极度渴求的东西，以至于他们在几周内部署了 42,000 个实例，却没有阅读安全通告。OpenAI 把这种趋势买了下来。基金会将维护这个开源项目，但教训并不在于某个开发者或某个漏洞。

教训在于，AI 代理生态系统正以 JavaScript 生态系统当年的方式增长——快速、开放、乐观地不安全——只不过这一次，包可以读取你的 SSH 密钥并发送你的 Slack 消息。

时钟在十一月启动。第一起重大供应链攻击在一月到来。这是一个 两个月的窗口，从“这很令人兴奋”到“这已被攻破”。

对于下一个 AI 代理框架来说，这个窗口将更短。