🔧 阿川の電商水電行
你現在使用的AI代理,真的安全嗎?
2026年2月,AI代理業界發生了劇變。人氣的個人AI代理「OpenClaw」的技能市場「ClawHub」上,發現了341個惡意技能。
這佔了所有技能的約12%。
也就是說,若安裝8個技能,其中1個可能是惡意軟體。
正在閱讀本文的OpenClaw用戶,請立即檢查你已安裝的技能。
總結來說
- ClawHub上2,857個技能中,341個(12%)是惡意技能
- 335個來自同一攻擊者集團(ClawHavoc作戰)
- 目標是加密資產:錢包私鑰、交易所API金鑰、SSH認證資訊
- CVE-2026-25253:單擊即可讓PC被接管的致命弱點
- 截至1月底,21,639台的OpenClaw實例已公開於互聯網
發生了什麼?「ClawHavoc」作戰的手法
安全公司Koi Security的調查揭示了名為「ClawHavoc」的大規模供應鏈攻擊的全貌。
攻擊流程
1. 用戶發現「看起來很方便」的技能
└─ 例:Solana錢包追蹤器、YouTube工具
2. 安裝技能
3. 被引導到「Prerequisites(前提條件)」區域
└─ 「要使用此技能,請先安裝○○」
4. 用戶按照指示下載並執行檔案
5. 安裝惡意軟體(AMOS Stealer)
6. 竊取以下所有資訊:
- 加密資產錢包的私鑰
- 交易所API金鑰
- SSH認證資訊
- 瀏覽器密碼驚人事實:335個是同一犯
在341個惡意技能中,335個連接到同一C&C伺服器(91.92.242.30)。
這意味著這是一場組織性的攻擊。
攻擊者大量發布了偽裝成以下合法工具的技能:
| 類別 | 偽裝範例 |
|---|---|
| 加密資產 | Solana錢包追蹤器、Polymarket交易機器人 |
| 開發工具 | 自動更新、財務工具 |
| 媒體 | YouTube工具 |
| 其他 | ClawHub的錯字劫持(clawhub → c1awhub等) |
最可怕的漏洞:CVE-2026-25253
OpenClaw還存在著更可怕的漏洞。
CVE-2026-25253是僅訪問惡意網頁就能完全接管安裝了OpenClaw的PC的漏洞。
攻擊鏈:
1. 訪問攻擊者的網頁
2. 利用WebSocket來源驗證的缺乏
3. 竊取認證令牌
4. 通過API禁用沙盒
5. 完全控制主機研究員Mav Levin警告說「可以在毫秒內侵害任意的OpenClaw實例」。
為什麼這麼危險?Cisco的分析
Cisco的安全團隊將像OpenClaw這樣的個人AI代理稱為「安全的噩夢」。
問題1:過度的權限
OpenClaw能執行以下操作:
- 執行Shell命令
- 讀寫檔案
- 執行腳本
換句話說,AI代理對你的PC擁有接近root權限的訪問。
問題2:明文保存的認證資訊
已確認OpenClaw以明文泄露API金鑰和認證資訊。攻擊者可以透過提示注入或公開端點獲取這些資訊。
問題3:攻擊面擴大
透過與WhatsApp和iMessage的整合,增加了通過消息應用的攻擊向量。
問題4:安全是「選項」
OpenClaw的官方文件中寫道:
"不存在「完全安全」的設置"
(沒有完美的安全設置)
安全性並非基礎,而是一項選擇。
受害規模:21,639台處於公開狀態
根據Censys的調查:
- 截至1月底,21,639台的OpenClaw實例已公開於互聯網
- 1週內從1,000台激增至21,000台以上
- 這些都是攻擊者的潛在目標
你可以採取的5項防範措施
1. 立即檢查已安裝的技能
使用以下命令檢查已安裝的技能:
# 顯示OpenClaw技能列表
openclaw skills list
# 檢查每個技能的來源
openclaw skills inspect <skill_name>2. 立即刪除可疑技能
以下特徵的技能需要注意:
- 在「Prerequisites」中要求下載外部檔案
- 從如glot.io等外部服務獲取腳本
- 宣稱涉及加密資產的功能
3. 利用Cisco的「Skill Scanner」
利用Cisco開源的 Skill Scanner 預先評估技能的安全性。
# Skill Scanner的安裝和執行
pip install cisco-skill-scanner
skill-scanner scan <skill_directory>4. 加強網路監控
阻止對以下IP地址的通信:
91.92.242.30(ClawHavoc的C&C伺服器)
5. 重新考慮是否真的需要
你真的有必要使用這個AI代理嗎?
為了方便,你正在讓:
- 加密資產
- 個人資訊
- 業務數據
這些都在面臨危險。
2026年,AI代理成為「新攻擊向量」
安全專家認為,2026年將是AI代理安全的轉捩點。
Palo Alto Networks預測:
"AI代理將成為2026年最大的新的攻擊向量"
還有更可怕的預測:
「曼丘利亞代理」情境
在合法人類認證資訊下運行的AI代理,將被外部攻擊者控制,從企業網絡內部發動攻擊——這在2026年內有可能成為現實。
總結
- 在OpenClaw的ClawHub上發現了341個(12%)惡意技能
- 335個是同一攻擊者的供應鏈攻擊(ClawHavoc)
- CVE-2026-25253:單擊即可RCE的致命漏洞
- 21,639台的實例已公開於互聯網
- AI代理被稱為「安全的噩夢」(Cisco)
立即採取行動。
你的加密資產、密碼和個人資訊可能面臨危險。
參考鏈接
研究人員發現341個惡意ClawHub技能竊取OpenClaw用戶的數據
像OpenClaw這樣的個人AI代理是一場安全的噩夢 - Cisco博客
OpenClaw安全後果:341個惡意技能和可啟用的單擊遠程代碼執行
安全專家對2026年的AI代理發出嚴重警告
如果這篇文章對你有幫助,請給我點贊和收藏!
如有任何問題或評論,請在下方評論區告訴我。也歡迎分享你對AI代理的安全防範措施的看法。
1) --- 會變成分隔線(上一行必須是空白)
2) # 會變成一級標題
3) ## 會變成二級標題
4) ### 會變成三級標題
5) **粗體文字**會顯示粗體文字
6) ```當第一行與最後一行會顯示程式碼
7) 請搜尋 Markdown 語法,了解各種格式
