OpenClaw 技能市集被揭露藏有逾千個惡意插件,專門竊取 SSH 金鑰與加密錢包私鑰。AI 工具生態的「信任預設」,正在成為 Web3 最被低估的攻擊面。
(前情提要: 彭博:a16z 何以成為美國 AI 政策背後的關鍵力量?)
(背景補充: Arthur Hayes 最新文章:AI 將引爆信用崩潰,聯準會終將「無限印鈔」點燃比特幣)
本文目錄
- 文字不再只是文字,而是指令
- Moonwell 的 178 萬美元教訓
- 信任的預設值錯了
慢霧創辦人余弦稍早在 X 平台發出警告:OpenClaw 的 ClawHub 技能市集中,約有 1,184 個惡意技能插件,能夠竊取使用者的 SSH 金鑰、加密貨幣錢包私鑰、瀏覽器密碼,甚至建立反向 Shell 後門。排名最高的惡意技能包含 9 個漏洞,下載次數更已達數千。
再次提醒:文本不再是文本,而是指令。玩 AI 这些工具要用独立环境…
Skills 很危险⚠️
Skills 很危险⚠️
Skills 很危险⚠️ https://t.co/GZ3hhathkE
— Cos(余弦)😶🌫️ (@evilcos) February 20, 2026
ClawHub 是近期爆紅的 OpenClaw(前身 clawbot) 的官方技能市集。使用者在上面安裝第三方擴充套件,讓 AI 代理執行從程式碼部署到錢包管理的各種任務。
安全公司 Koi Security 在 1 月底率先揭露了這場被命名為「ClawHavoc」的攻擊行動,初步識別出 341 個惡意技能。隨後,獨立安全研究員與 Antiy CERT 將範圍擴大至 1,184 個,涉及 12 個發布帳號。其中一個化名 hightower6eu 的攻擊者,獨自上傳了 677 個套件,超過總數的一半。
換句話說,一個人就汙染了整個市集過半的惡意內容,而平台的審核機制完全沒有攔住。
文字不再只是文字,而是指令
這些惡意技能的手法並不粗糙。它們偽裝成加密貨幣交易機器人、Solana 錢包追蹤器、Polymarket 策略工具、YouTube 摘要器,配有專業文件說明。而真正的殺招藏在 SKILL.md 檔案的「前置條件」區段:指引使用者從外部網站複製一段混淆處理的 Shell 腳本,貼到終端機執行。
這段腳本會從 C2 伺服器下載 Atomic Stealer(AMOS)一款月費 500 至 1,000 美元的 macOS 資訊竊取工具。
AMOS 的掃描範圍涵蓋瀏覽器密碼、SSH 金鑰、Telegram 對話紀錄、Phantom 錢包私鑰、交易所 API 金鑰,以及桌面和文件資料夾中的所有檔案。攻擊者甚至註冊了多個 ClawHub 的拼寫變體(clawhub1、clawhubb、cllawhub)進行域名仿冒,而兩個 Polymarket 主題的技能更包含反向 Shell 後門。
惡意技能的文件中還嵌入了 AI 提示詞指令,設計用來欺騙 OpenClaw 代理本身,讓 AI 反過來「建議」使用者執行惡意命令。余弦的總結一針見血:「文字不再只是文字,而是指令。」使用 AI 工具時,應該使用獨立環境。
這正是問題的核心。當使用者信任 AI 的建議,而 AI 的建議來源被汙染時,整條信任鏈就斷了。
Moonwell 的 178 萬美元教訓
余弦在同一則警告中特別提到了另一起事件:DeFi 借貸協議 Moonwell 在 2 月 15 日因預言機錯誤產生了 178 萬美元的壞帳。
問題出在一段計算 cbETH 美元價格的程式碼,它忘了將 cbETH/ETH 的匯率乘以 ETH/USD 的價格,導致 cbETH 被定價為約 1.12 美元而非實際的 2,200 美元。清算機器人隨即掃過所有以 cbETH 作為抵押品的倉位,181 名借款人損失約 268 萬美元。
區塊鏈安全審計師 Krum Pashov 追查發現,這段程式碼的 GitHub 提交紀錄標註了「Co-Authored-By: Claude Opus 4.6」。NeuralTrust 的分析精準描述了這個陷阱:「程式碼看起來是對的,能編譯,也通過了基本單元測試,但在 DeFi 的對抗性環境中徹底失敗。」
更值得警惕的是,人工審查、GitHub Copilot 和 OpenZeppelin Code Inspector 三道防線全數未能發現那個缺失的乘法步驟。
社群將這起事件稱為「Vibe Coding 時代的重大安全事故」。余弦引用這個案例的用意很明確:Web3 的安全威脅已經不再侷限於智能合約本身,AI 工具正在成為新的攻擊面。
信任的預設值錯了
OpenClaw 的創辦人 Peter Steinberger 已經實施社群檢舉機制,達 3 次舉報即自動隱藏可疑技能。Koi Security 也發布了掃描工具 Clawdex,但這些都是亡羊補牢。
根本問題在於,AI 工具生態系統的預設是「信任」,信任上架的技能是安全的、信任 AI 的建議是正確的、信任生成的程式碼是可靠的。當這個生態系統管理的是加密錢包和 DeFi 協議時,預設值錯了,代價就是真金白銀。
備註:VanEck 的數據顯示,2025 年底加密領域已有超過 1 萬個 AI 代理,預計 2026 年將突破 100 萬。
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Articoli correlati
Ledger 安全团队发现 MediaTek 处理器漏洞,或致钱包助记词被盗
加密钱包 Ledger 旗下团队发现,MediaTek 处理器的安全启动链存在漏洞,攻击者可在物理接触下提取加密密钥,影响约 25% 的 Android 手机。该漏洞可通过补丁修复,但强调了在非安全设备上存储密钥的风险,建议用户及时更新。
GateNews2h fa
AI写代码翻车了:别再神化AI,Claude编码造成DeFi平台损失178万美元
Moonwell借贷协议因预言机配置错误,导致cbETH资产的价格严重低估,出现链上安全事故。这一事件源于AI生成的代码逻辑错误,清算机器人利用该漏洞获利。尽管没有传统黑客介入,但对用户造成178万美元损失。事件揭示了对AI编程过程中的审核疏忽,强调技术自动化背景下人类审核的重要性。
PANews2h fa
工信部发布 OpenClaw 智能体安全风险防范建议,针对金融交易场景提出四项应对策略
3月11日,工业和信息化部发布关于防范OpenClaw开源智能体安全风险的建议,强调其在金融交易中的潜在风险,提出“六要六不要”应对策略,如实施网络隔离、二次确认和强化供应链审核等,以防止错误交易和账户被接管。
GateNews3h fa
Aave爆出2,700萬美元異常清算,34個帳戶被強平,官方承諾全額賠付
Aave於3月11日發生異常清算,約2,700萬美元的借貸倉位因內部安全模組CAPO引數配置錯誤,致使wstETH估值低估2.85%。清算影響34個帳戶,約10,938枚wstETH被強制平倉。Chaos Labs承諾將全額賠償受影響用戶,並強調需改進風險管理機制。這起事件凸顯了去中心化金融系統內部配置錯誤帶來的風險。
動區BlockTempo4h fa
Lido 回应清算事件:某 DeFi 借贷协议预言机错误导致清算,与 Lido 协议无关
Lido回应了3月10日因CAPO预言机报价错误引发的清算事件,称不会产生不良债务,并将全额赔偿受影响用户。Lido Earn产品未受影响,用户资金安全。
GateNews5h fa
BWA Chairman Dilip Chenoy Advocates Investor Education and Responsible Crypto Ecosystem
BWA Chairman Dilip Chenoy participated in the Q & A.
He called for thorough independent verification before crypto investment.
The immediate step for victims is to register a complaint with the authorities.
Dilip Chenoy, Chairman of Bharat Web3 Association (BWA), interacted with the media and pa
TheNewsCrypto7h fa
