文章总结： OpenClaw开源AI代理平台遭遇供应链投毒攻击，攻击者通过ClawHub插件市场上传341个恶意技能（感染率12%），植入AtomicStealer信息窃取程序。恶意技能利用SKILL.md文件作为操作入口，通过两阶段载荷窃取macOS用户钥匙串、浏览器凭据及桌面文件。OpenClaw已联合VirusTotal实施SHA-256哈希比对和GeminiLLM代码行为分析，建立良性/可疑/恶意三级判定系统并每日重扫，但承认仍难完全防御提示注入攻击。 综合评分： 78 文章分类： 供应链安全,恶意软件,威胁情报,AI安全,安全运营

OpenClaw成为供应链投毒攻击浪潮中的新目标

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年2月10日 09:19 湖北

导读

OpenClaw 是一个快速发展的开源 AI 代理平台，但由于攻击者利用恶意技能污染其 ClawHub 插件市场，该平台面临着严重供应链风险。

安全公司 SlowMist 和 Koi Security 发现了数百个被入侵的扩展程序，这些扩展程序部署了像 Atomic Stealer 的信息窃取程序。

OpenClaw 使本地 AI 代理能够通过托管在 ClawHub 上的“技能”模块化扩展来自动化工作流程、与服务交互和控制设备。

技能遵循 AgentSkills 规范，主要以 SKILL.md 文件夹的形式存在，其中包含可执行指令而非可审计代码。这种设计将 Markdown 从文档转变为操作入口点，使其极易被滥用。

ClawHub 宽松的上传流程缺乏严格审核，这与 npm 或 VS Code 应用市场存在的问题如出一辙。最近，ClawHub 的用户数量激增，吸引了开发者和攻击者的目光。

Koi Security扫描了2857个ClawHub技能，在名为ClawHavoc的攻击活动中识别出341个恶意技能，感染率12%。SlowMist整合了400多个样本的入侵指标（IOC），发现472个受影响的技能共享基础设施。

恶意技能集中在加密货币工具（例如 Solana 追踪器、Phantom 钱包）、YouTube 工具、Polymarket 机器人以及像“clawhub1”这样的域名抢注网站上。它们伪装成更新程序、安全检查或金融辅助工具，以绕过监管。

攻击者在 SKILL.md“先决条件”中嵌入了两阶段有效载荷。

第一阶段投放器从 91.92.242.30 等 IP 地址获取脚本，然后拉取第二阶段二进制文件（例如 x5ki60w1ih838sp7）。

根据SlowMist 的分析，这些是与 Atomic macOS Stealer (AMOS) 匹配的临时签名 Mach-O 通用程序，它会复制桌面/文稿数据，将数据泄露到 socifiapp.com 等 C2 服务器，并窃取钥匙串/浏览器凭据。

动态分析显示，攻击者使用钓鱼对话框窃取密码，将 .txt/.pdf 文件压缩成 ZIP 文件，并通过 curl 上传文件。重复使用域名/IP 地址（例如，与 Poseidon 勒索组织关联的 91.92.242.30）表明该攻击活动有组织性。

一款名为“X（Twitter）趋势”的热门技能隐藏着伪装成配置输出的 Base64 后门。解码后会从 91.92.242.30/q0c7ew2ro8l2cfqp 下载文件，并链接到 dyrtvwjfveyxjf23，后者是一款针对 macOS 文件夹的窃取程序。这种机制可以绕过关键词扫描器，同时实现快速的有效载荷替换。

OpenClaw 利用 VirusTotal 来保护 AI 代理技能生态系统

OpenClaw宣布与VirusTotal建立重要合作伙伴关系，将先进的威胁检测技术引入其人工智能技能市场ClawHub。

人工智能代理能够理解自然语言，并独立做出决策来执行任务。虽然这使得它们非常有用，但也带来了一种独特的风险。

恶意“技能”（人工智能代理的附加功能）可能会诱骗代理窃取敏感数据、执行未经授权的命令或下载有害软件。随着 OpenClaw 生态系统的扩展，不法分子试图利用这些功能的风险也随之增加。

为应对这种情况，OpenClaw正在对发布到 ClawHub 上的每一项技能实施严格的扫描流程。该过程结合了传统的文件指纹识别和现代人工智能分析：

• 确定性打包：当开发者上传技能时，文件会被打包到一个具有唯一数字指纹（SHA-256 哈希值）的 ZIP 文件中。
• 数据库查找： 此指纹会立即与 VirusTotal 的威胁情报数据库进行比对。
• 代码洞察分析：如果文件是新生成的，则会将其上传到 VirusTotal，使用“代码洞察”功能进行深度分析。此功能由 Google 的Gemini LLM 提供支持，它会读取代码以了解其行为。它会查找可疑操作，例如连接到未知网络或访问私有文件，而不仅仅是检查已知的病毒特征码。

OpenClaw 会上传完整的技能包进行行为分析，使系统能够全面了解代码的实际运行情况。

判决系统

根据扫描结果，将技能分为三类：

• 良性： 该技能已自动批准下载。
• 可疑： 该技能已发布，但已明确标明对用户的警告。
• 恶意： 该技能立即被屏蔽，无法下载。

OpenClaw 还会每天对所有活跃技能进行重新扫描，以确保以前安全的工具没有被后来破坏。

OpenClaw承认该系统并非“万无一失”。它可能无法捕获所有利用语言操纵人工智能的复杂“提示注入”攻击。

此次合作标志着 OpenClaw 更广泛的安全计划的开始，该计划很快将包括公共安全路线图和全面的威胁建模，以确保个人计算的未来安全。

新闻链接：

OpenClaw Becomes New Target in Rising Wave of Supply Chain Poisoning Attacks

今日安全资讯速递

APT事件

Advanced Persistent Threat

APT黑客利用受信任服务攻击边缘设备，部署恶意软件

APT Hackers Target Edge Devices by Abusing Trusted Services to Deploy Malware

微软安全博客：对 SolarWinds Web Help Desk 实例漏洞的积极利用情况分析

Analysis of active exploitation of SolarWinds Web Help Desk

UNC3886针对新加坡电信行业发起网络间谍活动

https://thehackernews.com/2026/02/china-linked-unc3886-targets-singapore.html

曹县UNC1069组织利用新工具和人工智能赋能的社会工程技术，瞄准加密货币领域

https://cloud.google.com/blog/topics/threat-intelligence/unc1069-targets-cryptocurrency-ai-social-engineering/

俄罗斯沙虫黑客对波兰电网发起的 DynoWiper 攻击失败

https://www.cysecurity.news/2026/02/sandworm-hackers-fail-in-dynowiper.html

德国安全机构表示，黑客利用Signal二维码监视军事和政治领导人 https://hackread.com/hackers-signal-qr-codes-spy-on-military-political-leaders/

Bloody Wolf 利用 NetSupport RAT 在鱼叉式网络钓鱼活动中攻击乌兹别克斯坦和俄罗斯

https://thehackernews.com/2026/02/bloody-wolf-targets-uzbekistan-russia.html

一般威胁事件

General Threat Incidents

美国支付平台提供商BridgePay 证实遭到勒索软件攻击，致全美范围内关键系统离线

https://www.cybermaterial.com/p/bridgepay-confirms-ransomware-attack

RecoverIt 新工具滥用 Windows 服务故障恢复机制执行恶意载荷

New RecoverIt Tool Abuses Windows Service Failure Recovery to Execute Malicious Payloads

虚假7-Zip 下载正在将家用电脑变成代理节点

Fake 7-Zip downloads are turning home PCs into proxy nodes

TeamPCP蠕虫利用云基础设施构建犯罪基础设施

https://thehackernews.com/2026/02/teampcp-worm-exploits-cloud.html

超过500万台配置错误的Git Web服务器被发现，这些服务器在线泄露了机密信息。

Over 5 Million Misconfigured Git Web Servers Found Exposing Secrets Online

黑客通过钓鱼邮件将Global Group 勒索软件离线传播

Hackers Deliver Global Group Ransomware Offline via Phishing Emails

勒索软件组织利用 SmarterTools 部署中的 SmarterMail 漏洞入侵了 SmarterTools

Ransomware group breached SmarterTools via flaw in its SmarterMail deployment

VoidLink恶意软件展现出多云功能和人工智能代码

https://www.infosecurity-magazine.com/news/voidlink-malware-multi-cloud-ai/

基于Node.js的新型LTX窃取攻击程序可窃取用户登录凭证

New Node.js Based LTX Stealer Attack Users to Exfiltrate Login Credentials

OpenClaw成为供应链投毒攻击浪潮中的新目标

OpenClaw Becomes New Target in Rising Wave of Supply Chain Poisoning Attacks

漏洞事件

Vulnerability Incidents

BeyondTrust漏洞（CVE-2026-1731）允许在未经授权的情况下执行远程代码

https://www.esecurityplanet.com/threats/beyondtrust-vulnerability-allows-pre-auth-remote-code-execution/

Fortinet FortiClient EMS 存在严重漏洞，可远程执行代码

Critical Fortinet FortiClient EMS Vulnerability Allows Remote Code Execution

Claude桌面扩展程序存在零点击远程代码执行漏洞，1万名用户面临远程攻击风险

Claude Desktop Extensions 0-Click RCE Vulnerability Exposes 10,000+ Users to Remote Attacks

谷歌警告：超过10亿部安卓手机面临不再接收安全更新导致的恶意攻击风险

Google Warns Over 1 Billion Android Phones Are Now at Risk

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《OpenClaw成为供应链投毒攻击浪潮中的新目标》