AI Agent 生态遭遇了第一次有据可查的大规模供应链投毒事件——ClawHavoc。攻击者通过 ClawHub 技能注册中心批量发布恶意 Skill,最终波及分布于 82 个国家的 135,000+ 台 OpenClaw 实例。这不是一次概念验证,而是有组织、有规模的供应链攻击在 AI Agent 领域的首次实证。

本文数据来自公开发表的 AI Agent 安全研究论文,部分数据经 ClawSafe 团队交叉验证。

攻击规模:数字本身就令人震惊

指标数据
恶意 Skill 数1,184 个
攻击者账号数12 个
单账号最大贡献677 个包(占恶意列表 57%)
暴露设备数135,000+(跨 82 个国家)
含安全缺陷的 Skill 比例36.8%(Snyk 全量审计)
明文凭证泄露283/3,984 Skill(7.1%)
VirusTotal 分析数量3,016+ 个 Skill

单一账号发布 677 个恶意包意味着什么?这是工厂化生产,不是个人行为。攻击者建立了完整的恶意 Skill 流水线。

核心载荷:AMOS 窃密器

ClawHavoc 的主要有效载荷是 AMOS(Atomic macOS Stealer)——一个专门针对 macOS 的信息窃取器。它系统性收割五类高价值目标:

1. LLM API 密钥

.env 文件和 OpenClaw 配置中提取 API Key,用于账单欺诈和模型滥用。对开发者而言,这意味着直接的经济损失。

2. 加密货币钱包

覆盖 60+ 钱包类型:Phantom、MetaMask、Exodus、Coinbase Wallet 等。加密资产一旦被盗不可逆转。

3. 浏览器存储数据

完整收割 Chrome、Safari、Firefox、Brave、Edge 中存储的密码、信用卡号和自动填充数据。

4. SSH 密钥与 Keychain 凭证

SSH 私钥意味着对生产基础设施的持久访问。攻击者可以在用户无感知的情况下长期潜伏。

5. 其他数据

Telegram 会话令牌、桌面和文档目录中的本地文件。

Windows 平台:通过密码保护的压缩包投递 VMProtect 加壳的信息窃取器,规避传统杀毒软件检测。

四阶段攻击链分析

Phase 1:投毒检索(Poisoned Skill Retrieval)

攻击者克隆热门合法 Skill,使用近似名称(typosquatting)在 ClawHub 发布恶意版本。由于 ClawHub 依赖元数据驱动的发现机制(下载量、名称关键词),攻击者通过人为膨胀下载量(如最热门恶意 Skill “What Would Elon Do” 的 4,000 个伪造下载)让恶意版本排名与合法版本并列甚至超越。

Phase 2:恶意载荷部署(Malicious Payloads)

多种载荷形式并存:

  • 反弹 shell(连接攻击者控制的 C2)
  • 凭证外泄 webhook(将数据 POST 到攻击者服务器)
  • 社会工程”安装”指令(要求用户执行 curl | bash 管道命令)

Phase 3:混淆代理攻击(Confused Deputy)

这是最精妙的一环。Skill 文档中嵌入提示词注入载荷,强迫 AI Agent 使用其已有的合法工具权限执行恶意命令。Agent 成为攻击者的共犯,而不知情的用户认为 Agent 只是在”正常工作”。

在 ClawHavoc 样本中,91% 的恶意 Skill 包含提示词注入载荷,且同时针对人类用户和 AI Agent 双重攻击。

Phase 4:适用性条件投毒(C-Poisoning)

过度宽泛的 Skill 描述确保恶意 Skill 在广泛任务类别中被 Agent 自动激活。覆盖领域包括加密货币、生产力工具、自动化——几乎任何用户场景都能触发。

为什么传统扫描器全部失效

VirusTotal 等传统安全工具在 ClawHavoc 面前几乎无效。原因在于 AI Agent Skill 的攻击面与传统软件完全不同:

攻击面传统扫描器覆盖情况
名称抢注、描述误导、虚假下载量不评估元数据语义
过宽激活范围(适用性条件)无审计能力
自然语言提示词注入NL 攻击被标记为 Benign
二进制恶意载荷可检测,但只是冰山一角

同期针对 157 个确认恶意 Skill 的独立研究发现,84.2% 的漏洞实例(532/632)嵌入在 SKILL.md 的自然语言文档中,而非可执行代码。这一发现与 ClawHavoc 的攻击模式高度吻合:传统二进制扫描器对自然语言层面的攻击完全视盲。

最热门恶意 Skill:“What Would Elon Do”

这个 Skill 以”模拟埃隆·马斯克决策风格”为噱头,实际包含 9 个安全漏洞(含 2 个 CRITICAL 级),拥有 4,000 个伪造下载量。它的存在完美诠释了攻击者的策略:利用用户好奇心和对名人的关注作为社会工程载体。

国家级响应

事件的严重性触发了多国政府机构的紧急响应:

  • 比利时网络安全中心 发布紧急公告
  • 中国工信部 发布紧急公告
  • 多家韩国科技公司 完全封禁 OpenClaw

治理响应:OpenClaw + VirusTotal 合作

事后,OpenClaw 与 VirusTotal 建立了三层合作机制:

  1. SHA-256 指纹扫描 — 捕获已知恶意软件特征
  2. Code Insight(LLM 行为分析) — 语义层面分析代码意图
  3. 每日重新扫描 — 持续监控

但这次合作也揭示了一个教训:没有单一防御层足够。二进制扫描捕获代码级恶意软件,但对自然语言级攻击无能为力;LLM 语义分析能发现 NL 注入,但需要运行时监控来捕获仅在执行时表现的攻击行为。

对开发者的实际建议

如果你正在使用 Claude Code 或类似 AI Agent 工具并安装了第三方 Skill:

  1. 在安装前扫描 — 使用 ClawSafe 对 Skill 文件进行安全检测
  2. 检查实际下载量 — 高下载量在无验证机制的市场中可以轻易伪造
  3. 审查 SKILL.md 全文 — 特别关注任何要求访问 ~/.ssh~/.aws.env 的指令
  4. 警惕”安全工具”伪装 — 研究发现多个恶意 Skill 伪装为安全工具,利用用户对安全的追求作为攻击载体
  5. 最小权限原则 — 限制 Agent 工具访问范围,不给 Skill 不必要的文件系统权限

ClawHavoc 事件是 AI Agent 生态的一个分水岭。它证明了 Skill 市场和 npm、PyPI 一样,同样是供应链攻击的高价值目标——而且由于自然语言攻击面的存在,防御难度远高于传统包管理器。AI Agent 安全不是”以后的问题”,它已经发生了。