文章总结： 文档报告了黑客组织利用开源AI框架OpenClaw的漏洞，如CVE-2026-25253和供应链投毒，窃取API密钥并部署恶意软件。ClawHavoc活动利用供应链攻击传播窃取软件，暴露的管理接口加剧了风险。Shodan扫描发现大量实例未设认证。建议企业保护API凭证并隔离AI工作负载，强调需采用安全设计方法应对自主AI代理的安全挑战。 综合评分： 83 文章分类： 威胁情报,AI安全,漏洞分析,供应链安全,恶意软件

多个黑客组织利用 OpenClaw 实例窃取 API 密钥并部署恶意软件

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月22日 09:35 辽宁

多个黑客组织广泛利用 OpenClaw（以前称为 MoltBot 和 ClawdBot）部署恶意载荷。

OpenClaw 是由 Peter Steinberger（现就职于 OpenAI）开发的开源自主AI 框架，自 2026 年 1 月下旬被广泛采用以来，已成为一个备受关注的目标。

其架构赋予了它重要的系统权限、持久的内存访问权限以及与敏感服务的集成，使其成为凭证窃取和数据泄露的主要目标。

在广泛部署后的 72 小时内，威胁行为者就开始利用多个严重漏洞。

包括高风险的 远程代码执行漏洞（CVE-2026-25253）、供应链投毒以及通过暴露的管理接口窃取凭证。

Flare 分析师观察到超过 30,000 个被入侵的 OpenClaw 实例被用于窃取 API 密钥、拦截消息，并通过 Telegram和其他恶意通信渠道传播窃取信息的恶意软件。

ClawHavoc 活动：供应链大规模部署

最早也是最具破坏性的攻击之一，被称为“ClawHavoc”， 于 2026 年 1 月 29 日被发现。

这种供应链攻击将Atomic Stealer（macOS 版） 和键盘记录器（Windows 版）等恶意载荷伪装成合法的加密工具。

用户通过所谓的“安装”脚本进行安装时，不知不觉地下载了能够实现全面入侵的窃取恶意软件，使攻击者能够提取持久内存数据并在企业系统中进行横向移动。

到 2 月初，第二个活动“通过 ClawHub 进行自动化技能投毒”通过 OpenClaw 社区市场出现。

由于该平台采用开放的发布模式且缺乏代码审查，攻击者通过看似可信的 GitHub 帐户（例如 Hightower6eu）上传了带有后门的“技能”。

这些恶意更新执行远程 shell 命令，使攻击者能够实时窃取 OAuth 令牌、密码和 API 密钥。

2026 年 2 月 18 日，Shodan 扫描发现有 312,000 多个 OpenClaw 实例在默认端口 18789 上运行，其中许多实例没有身份验证，并且对互联网开放。

与此同时，暴露的管理接口加剧了危机。蜜罐部署记录显示，在接口暴露后的几分钟内就出现了攻击尝试。

OpenClaw事件凸显了自主人工智能代理安全领域的一个关键转折点。有组织的威胁团体迅速调整策略，将原本优先考虑能力而非网络安全的生态系统武器化。

随着 OpenAI 收购 OpenClaw 的开发者，专家警告说，这些问题凸显了未来人工智能框架中迫切需要采用安全设计方法。

Flare 的一项建议指出，使用或测试自主助手的公司应确保API 凭证的安全，并隔离 AI 工作负载。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《多个黑客组织利用 OpenClaw 实例窃取 API 密钥并部署恶意软件》