文章总结： 流行AI智能体OpenClaw遭攻击者利用，通过伪装技能文件诱导macOS用户执行恶意命令。攻击绕过系统隔离植入信息窃取软件，窃取Cookie及API密钥等敏感数据。模型权限协议对此无效，用户需警惕此类社会工程学攻击并避免执行不明脚本。 综合评分： 83 文章分类： AI安全,恶意软件,漏洞预警,终端安全,社会工程学

【安全圈】爆火 AI 智能体 OpenClaw 被发现严重漏洞，可传播 / 植入 macOS 病毒

安全圈

2026年2月4日 19:02 江苏

关键词

AI、恶意软件

密码管理工具 1Password 于 2 月 2 日发布博文，其安全团队发现有攻击者利用爆火 AI 智能体 OpenClaw（原名 Clawdbot 和 Moltbot），向 macOS 用户散播和植入恶意软件。

注：OpenClaw 是一个近期爆火的 AI 智能体，核心竞争力在于其 ” 主动自动化 ” 能力。该 AI 智能体无需用户发出指令，即可自主清理收件箱、预订服务、管理日历及处理其他事务。同时，它具备强大的记忆功能，能够保存所有对话历史，并从过往的对话片段中精准回调用户的偏好设置。

攻击者利用了 OpenClaw 的 ” 技能 “（Skills）文件，这些通常为 Markdown 格式的文件本用于指导 AI 学习新任务，却被黑客伪装成合法的集成教程。

在看似常规的设置过程中，文档会诱导用户复制并运行一段 Shell 命令。该命令会在后台解码隐藏载荷、下载后续脚本，并修改系统设置以移除 ” 文件隔离（Quarantine）” 标记，从而成功躲避 macOS 内置的安全检查。

植入系统的有效载荷被确认为 ” 信息窃取类（Infostealer）” 恶意软件。与传统破坏系统的病毒不同，该恶意软件专注于静默窃取高价值数据，包括浏览器 Cookie、活跃登录会话、自动填充密码、SSH 密钥以及开发者 API 令牌。对于开发人员而言，这意味着攻击者可能借此渗透至源代码库、云基础设施及企业 CI / CD 系统，造成连锁式的数据泄露。

尽管部分开发者寄希望于 ” 模型上下文协议（MCP）” 来限制 AI 权限，但事实证明该协议在面对此类攻击时形同虚设。

由于攻击本质上是利用文档进行社会工程学欺诈，而非直接调用工具接口，因此可以轻易绕过协议边界。同时，此次攻击显示黑客对 macOS 的防御体系极为熟悉，单纯依赖苹果系统的环境隔离已无法有效阻断此类威胁。

END

阅读推荐

【安全圈】黑客放出新变种病毒针对fnOS升级！官方紧急通告

【安全圈】海康威视修复DS-3WAP无线接入点命令注入漏洞（CVE-2026-0709）

【安全圈】违法违规收集使用个人信息问题，72 款移动应用被通报

【安全圈】元宝崩了！腾讯回应来了

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】爆火 AI 智能体 OpenClaw 被发现严重漏洞，可传播 / 植入 macOS 病毒》