文章总结： OpenClaw宣布与VirusTotal合作，扫描其技能市场ClawHub上传的技能，以加强AI智能体生态系统的安全性。所有技能将通过SHA-256哈希与VirusTotal数据库交叉检查，可疑或恶意技能将被标记或阻止。文档同时揭示了OpenClaw面临的多重安全风险，包括恶意技能伪装、配置错误实例暴露、间接提示注入、凭据明文存储及权限滥用等，这些风险可能导致数据泄露和远程代码执行。建议用户实施强化的身份验证、访问控制和执行边界以降低风险。 综合评分： 78 文章分类： AI安全,供应链安全,恶意软件,漏洞预警,安全运营

OpenClaw集成VirusTotal扫描检测恶意ClawHub Skills

原创

thehackernews thehackernews

安全行者老霍

2026年2月23日 09:00 美国

作者：Ravie Lakshmanan

发布时间：2026年2月

OpenClaw（前身为Moltbot和Clawdbot）宣布，它将与谷歌旗下的VirusTotal合作，扫描上传到其技能市场ClawHub的技能，作为加强智能体生态系统安全性更广泛努力的一部分。

OpenClaw的创始人Peter Steinberger、Jamieson O’Reilly和Bernardo Quintero表示：“所有发布到ClawHub的技能现在都使用VirusTotal的威胁情报进行扫描，包括他们新的Code Insight功能，这为OpenClaw社区提供了额外的安全层。”

该过程本质上需要为每种技能创建一个唯一的SHA-256哈希，并将其与VirusTotal的数据库进行交叉检查以进行匹配。如果没有找到，技能包将被上传到恶意软件扫描工具，以便使用VirusTotal Code Insight进行进一步分析。

判断为“良性”代码的技能会自动获得ClawHub的批准，而那些标记为可疑的技能则会被标记为警告。任何被认为是恶意的技能都会被阻止下载。OpenClaw还表示，每天都会重新扫描所有活动技能，以避免以前干净的技能变成恶意技能的情况。

OpenClaw的维护者还警告说，VirusTotal扫描“不是灵丹妙药”，一些巧妙隐藏提示注入有效载荷的恶意技能可能会从裂缝中溜走。

除了VirusTotal合作伙伴关系外，该平台还将发布全面的威胁模型、公共安全路线图、正式的安全报告流程，以及整个代码库的安全审计细节。

此前有报道称ClawHub上发现了数百种恶意技能，促使OpenClaw添加了一个报告选项，允许登录用户标记可疑技能。多项分析发现，这些技能伪装成合法的工具，但在幕后，它们隐藏着恶意功能，可以窃取数据、注入后门进行远程访问或安装窃取恶意软件。

思科上周指出：“具有系统访问权限的人工智能代理可以成为绕过传统数据防泄露、代理和端点监控的隐蔽数据泄漏通道。其次，模型也可以成为执行编排器，其中提示本身成为指令，使用传统的安全工具很难捕捉到。”

除了恶意技能的发现之外，开源自主型人工智能（AI）助手OpenClaw以其相关的社交网络Moltbook病毒式传播，在这些社交网络中，基于OpenClaw构建的自主AI智能体在Reddit风格的平台上相互交互，这引发了被广泛称为 “致命三要素”（Lethal Trifecta）的安全担忧。

（注：“致命三要素（Lethal Trifecta）”是 AI 安全领域的核心风险概念，由 Simon Willison 提出，指 AI 智能体同时具备以下三个条件时，会形成极易被利用的高危安全漏洞组合：

三要素定义（缺一不可）

1. 访问敏感 / 私有数据

   智能体拥有读取、处理用户或系统敏感信息的权限（如 API 密钥、密码、源代码、客户数据、内部文档）。

2. 接收不受信任的外部内容

   智能体可处理来自外部、不可控的输入（如用户消息、网页内容、邮件、公开评论、第三方数据）。

3. 具备对外通信能力

   智能体能主动向外部发送数据、调用 API、发邮件、上传文件等，可将信息传出系统。）

虽然OpenClaw作为一个自动化引擎来触发工作流程、与在线服务交互并跨设备运行，但赋予技能本地的访问权限，再加上他们可以处理来自不可信来源的数据，可能会为恶意软件和提示注入等风险打开大门。

换句话说，这些集成虽然方便，但大大拓宽了攻击面，扩大了智能体使用的不受信任的输入集，使其成为数据泄露和其他恶意行为的“智能体木马”。Backslash Security将OpenClaw描述为“有手的人工智能”

OpenClaw指出：“与传统软件完全按照代码告诉它做的事情不同，人工智能智能体解释自然语言并做出行动决定，它们模糊了用户意图和机器执行之间的界限。它们可以通过语言本身进行操纵。”

OpenClaw还承认，技能所拥有的权力–用于扩展人工智能智能体的能力，例如控制智能家居设备到管理财务–可能会被坏人滥用，他们可以利用智能体对工具和数据的访问来窃取敏感信息，执行未经授权的命令，代表受害者发送消息，甚至在不知情或不同意的情况下下载和运行多余的有效载荷。

更重要的是，随着OpenClaw越来越多地部署在没有正式IT或安全批准的员工端点上，这些智能体的特权提升可以进一步实现标准安全控制之外的shell访问、数据移动和网络连接，为企业创造了一类新的影子AI风险。

Astrix Security研究员Tomer Yahalom说：“无论你是否批准，OpenClaw和类似的工具都会出现在你的组织中，员工会安装它们，因为它们真的很有用。唯一的问题是你是否会知道。”

最近几天出现的其他一些明显的安全问题如下：

• 早期版本中发现的一个现已修复的问题，该问题可能会导致智能体流量被错误分类为本地流量，从而绕过某些互联网暴露实例的身份验证。
• OX Security的Moshe Siman Tov Bustan和Nir Zadok表示：“OpenClaw以明文形式存储凭据，使用不安全的编码模式，包括用户输入的直接评估，并且没有隐私政策或明确的责任。常见的卸载方法会留下敏感数据，完全撤销访问权限比大多数用户意识到的要困难得多。”
• 一种零点击攻击，利用OpenClaw的集成在受害者的端点上植入后门，以便在智能体处理看似无害的文档时进行持久控制，从而执行间接提示注入有效载荷，使其能够响应来自攻击者控制的Telegram机器人的消息。
• 嵌入在网页中的间接提示注入，当解析为无害提示的一部分，要求大型语言模型（LLM）总结页面内容时，会导致OpenClaw将攻击者控制的指令集附加到~/.OpenClaw/workspace/HEARTBEAT.md文件中，并静默等待来自外部服务器的进一步命令。
• ClawHub市场上3984项技能的安全分析发现，283项技能（约占整个库的7.1%）包含严重的安全漏洞，这些漏洞通过LLM的上下文窗口和输出日志以明文形式暴露敏感凭据。
• Bitdefender的一份报告显示，恶意技能经常使用小名称变体大规模克隆和重新发布，有效载荷通过glot.io和公共GitHub存储库等粘贴服务进行暂存。
• 一个现已修补的一键式远程代码执行漏洞影响了OpenClaw，该漏洞可能允许攻击者诱骗用户访问恶意网页，从而导致网关控制UI通过WebSocket通道泄漏OpenClaw身份验证令牌，并随后使用它在主机上执行任意命令。
• OpenClaw的网关默认绑定到0.0.0.0:18789，将整个API暴露给任何网络接口。根据Censys的数据，截至2026年2月8日，互联网上有超过30000个暴露的实例可供访问，尽管大多数实例都需要令牌值才能查看和交互。
• 在假设的攻击场景中，嵌入在特制的WhatsApp消息中的提示注入有效负载可用于从公开的OpenClaw实例中过滤“.env”和“creds.json”文件，这些文件存储连接消息平台的凭据、API密钥和会话令牌。
• 属于Moltbook的一个配置错误的Subabase数据库在客户端JavaScript中暴露，使得在网站上注册的每个代理的API密钥都可以自由访问，并允许对平台数据进行完全读写访问。据Wiz称，此次曝光包括150万个API身份验证令牌、35000个电子邮件地址和智能体之间的私人消息。
• 已经发现威胁行为者利用Moltbook的平台机制来扩大影响范围，并将其他智能体引导到包含提示注入的恶意线程，以操纵他们的行为并提取敏感数据或窃取加密货币。
• Zenity Labs表示：“Moltbook可能无意中还创建了一个实验室，在这个实验室里，可能是高价值目标的智能体不断处理和处理不受信任的数据，并且平台上没有设置护栏–设计之初就有。”

HiddenLayer的研究人员Conor McCauley、Kasimir Schulz、Ryan Tracey和Jason Martin指出：“首先，也许也是最令人震惊的问题是，OpenClaw在许多安全关键决策中都依赖于配置的语言模型。除非用户主动启用OpenClaw基于Docker的工具沙盒功能，否则全系统访问仍然是默认设置。”

这家人工智能安全公司发现的其他架构和设计问题包括OpenClaw未能过滤出包含控制序列的不受信任的内容、针对间接提示注入的无效防护措施、可修改内存和系统提示持续到以后的对话中、API密钥和会话令牌的明文存储，以及在执行工具调用之前没有明确的用户批准。

在上周发布的一份报告中，Permiso Security认为，由于智能体可以广泛访问用户数据，OpenClaw生态系统的安全性比应用商店和浏览器扩展市场更为重要。

安全研究员Ian Ahl指出：“智能体可以获得你整个数字生活的凭证。与在具有某种程度隔离的沙箱中运行的浏览器扩展不同，这些智能体使用您授予它们的全部权限进行操作。”

“技能市场加剧了这种情况。当你安装恶意浏览器扩展程序时，你正在危害一个系统。当你设置恶意代理技能时，你可能会潜在危害智能体有访问凭据的每个系统。”

据路透社报道，与OpenClaw相关的一长串安全问题促使中国工业和信息化部发布了关于配置错误实例的警报，敦促用户实施保护措施，以防止网络攻击和数据泄露。

SOCRadar首席信息安全官Ensar Seker通过电子邮件告诉《黑客新闻》：“当智能体平台的病毒传播速度超过安全实践的成熟速度时，配置错误成为主要的攻击面。风险不在于智能体本身；它将自主工具暴露给公共网络，而没有强化的身份、访问控制和执行边界。”

“这里值得注意的是，中国监管机构明确指出了配置风险，而不是禁止该技术。这与防御者已经知道的一致：智能体框架放大了生产力和爆炸半径。只需一个暴露的端点或权限过度宽松的插件，就可能让 AI 智能体在无意间成为攻击者的自动化攻击层。”

https://thehackernews.com/2026/02/openclaw-integrates-virustotal-scanning.html

（完）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 thehackernews thehackernews《OpenClaw集成VirusTotal扫描检测恶意ClawHub Skills》