ClawHub 事件:341 個惡意 Skill 如何滲透最大審核市集
ClawHavoc 攻擊行動事後分析,攻擊者如何在 ClawHub 植入 341 個散播 Atomic macOS Stealer 的惡意 skill,如何用一週齡 GitHub 帳號繞過審核,以及擴大至 1,184+ 個惡意 skill 對 AI agent 市集信任的衝擊。
ClawHub 有 12% 是惡意軟體
2026 年 2 月 1 日,Koi Security 研究員 Oren Yomtov 公布了一項完整審計結果:OpenClaw AI agent 的官方 skill 市集 ClawHub 上,2,857 個 skills 中有 341 個是惡意的。佔比 11.9%。其中 335 個被追溯到同一場協調行動,現在代號 ClawHavoc。
攻擊載荷:Atomic macOS Stealer(AMOS),一款商業化資訊竊取器,專門收割瀏覽器憑證、Keychain 密碼、加密貨幣錢包、SSH 金鑰和 Telegram session 資料。攻擊目標涵蓋約 30 萬名 OpenClaw 使用者。到 2 月 16 日,後續掃描發現惡意 skills 已增長至 824 個,市集本身也擴大到 10,700+ 個 skills。Antiy Labs 最終記錄了 ClawHub 歷來出現的 1,184 個惡意 skills。
這是事後分析。發生了什麼、怎麼發生的,以及整個 agent skills 生態系應該從中學到什麼。
事件時間線
2026 年 1 月 27 日 — 第一個惡意 skill 出現在 ClawHub。未被標記。
1 月 31 日 — 上傳量暴增。使用 ID hightower6eu 的單一攻擊者開始大量上傳 skills,遍及 ClawHub 所有分類。這個帳號最終上傳了 677 個惡意套件,是所有攻擊者中最多的。七名威脅行為者在第一波攻擊中協調上傳了 386 個 skills。
2 月 1 日 — Koi Security 將攻擊行動命名為 ClawHavoc。Yomtov 的揭露報告識別出 341 個惡意 skills。ClawHub 開始移除被標記的項目,但因人工審核積壓,部分仍然殘留。
2 月 5 日 — 獨立掃描在首次系統性清查中確認 341 個惡意 skills。
2 月 7 日 — OpenClaw 宣布與 VirusTotal 合作掃描 ClawHub 上所有已發布的 skill。分析了超過 3,016 個樣本,確認的惡意 skills 被移除,引入每日重新掃描機制。
2 月 12 日 — OpenClaw 發布 2026.2.12 版,修補 40+ 個漏洞,包括強制瀏覽器驗證和 SSRF 拒絕策略。
2 月 15 日 — 後續掃描發現惡意數量已增至 800+。ClawHavoc 行動已擴展至約 25 個新攻擊類別,包括瀏覽器自動化 agent、程式編寫助手、LinkedIn 整合、PDF 工具和偽冒安全掃描 skills。
2 月 16 日 — 確認惡意 skills 達 824 個,市集規模 10,700+ 個 skills。汙染率從 11.9% 降至約 7.7%,但絕對數量翻了一倍多。
2 月 17 日 — 另一起獨立事件:Cline CLI 2.3.0 供應鏈攻擊被發現。在八小時的窗口內,約 4,000 台開發者機器被靜默安裝了 OpenClaw。兩起事件沒有直接關聯,但加劇了 agent 工具生態系的信任危機。
2 月 25 日 — Oasis Security 揭露 ClawJacked 漏洞。OpenClaw 在 24 小時內以 2026.2.25 版修補。
惡意 Skills 做了什麼
335 個 ClawHavoc skills 遵循一致的模式。每個都偽裝成合法工具,名稱如 solana-wallet-tracker、youtube-summarize-pro、calendar-sync-pro、file-manager-plus、polymarket-trader。名稱鎖定開發者實際搜尋的關鍵字。
Skills 使用專業文件。SKILL.md 結構完整、外觀無害。攻擊藏在 Prerequisites 區段。
ClickFix 2.0 技術
ClawHavoc 開創了研究人員現在稱為 ClickFix 2.0 的手法,一種利用 AI agent 作為信任中介的社交工程技術。傳統 ClickFix 攻擊誘騙使用者從網頁複製並執行命令。ClickFix 2.0 在 SKILL.md 中偽造「前置安裝需求」,讓 AI agent 本身向使用者呈現假的設定對話。
使用者信任 agent。Agent 信任 skill。Skill 說:「此 skill 需要一個執行時元件。請執行以下命令安裝。」命令下載並執行 AMOS。
在 macOS 上,載荷竊取瀏覽器憑證、Keychain、Telegram 資料、SSH 金鑰和加密貨幣錢包檔案,壓縮後回傳至攻擊者控制的伺服器。hightower6eu 帳號旗下 677 個惡意 skills 累積了近 7,000 次下載。
三種載荷投遞方式
除 ClickFix 2.0 外,Antiy Labs 識別出三種不同的嵌入手法:
- 分階段下載 — SKILL.md 指示 agent 下載並執行次級載荷。初始 skill 不包含明顯惡意程式碼。
- 透過 Python system call 的反向 shell — skill 套件中的輔助腳本向攻擊者基礎設施開啟反向 shell。SKILL.md 僅觸發腳本執行。
- 直接資料竊取 — skill 指示 agent 讀取敏感檔案(
~/.ssh/id_rsa、~/.aws/credentials、.env)並將內容包含在輸出中或 POST 至外部 URL。
此外,部分 ClawHavoc skills 針對持久化,修改 OpenClaw 的 SOUL.md 和 MEMORY.md 設定檔,植入在未來 session 中執行的指令。這種手法在移除 skill 之後仍然存活。
如何繞過審核
核心問題:ClawHub 根本沒有審核。 儘管自稱市集,發布 skill 的唯一門檻是一個至少一週齡的 GitHub 帳號。
沒有程式碼審查。沒有自動化掃描。沒有行為分析。沒有人工審批佇列。所謂的「審核」就是 GitHub 帳號年齡限制,攻擊者只需七天的耐心和零成本。
攻擊者用以下方式利用這個缺口:
量體灌水。 七個帳號在第一波上傳了 386 個 skills。透過散布到每個分類,確保任何瀏覽 ClawHub 的人都會遇到惡意選項。
名稱搶佔。 Skills 以熱門工具和使用場景命名,加密貨幣交易、YouTube 摘要、日曆管理。它們在 ClawHub 搜尋中排名靠前,因為排名演算法加權了新近度和分類覆蓋率。
專業包裝。 每個 SKILL.md 都有整潔的格式、結構化的章節和合理的描述。惡意載荷嵌入在與合法安裝說明自然融合的「Prerequisites」區段中。
留言區轉向。 初始 SKILL.md 攻擊被標記後,攻擊者轉向在 ClawHub skill 頁面留言區張貼惡意命令,偽裝成「更新服務」說明。這繞過了針對 SKILL.md 的掃描。
「審核市集」品牌形象與實際安全基礎設施之間的落差,才是根本漏洞。使用者假設審核等於安全。但事實並非如此。
平行事件:Cline CLI 2.3.0
ClawHavoc 揭露後十天,另一場供應鏈攻擊衝擊了更廣泛的 agent 生態系。2026 年 2 月 17 日,Cline CLI 的惡意版本 cline@2.3.0 被發布到 npm,在八小時的窗口內靜默安裝 OpenClaw 到所有更新的機器上。
研究員 Adnan Khan 將此攻擊鏈命名為 Clinejection,值得研究是因為它展示了一種不同類別的供應鏈風險:AI agent 攻擊 AI agent。
Khan 發現 Cline 的 GitHub Actions 工作流程使用 Claude 來分派 issue。Issue 標題中的 prompt injection 可以欺騙 Claude 從攻擊者控制的 commit 執行 npm install。惡意的 preinstall 腳本部署了快取投毒工具 Cacheract,最終從 CI pipeline 外洩 NPM_RELEASE_TOKEN 和 VSCE_PAT 憑證。攻擊者利用這些發布了 cline@2.3.0。
Khan 在 2026 年 1 月 1 日已負責任地揭露此漏洞,比被利用早了 47 天。Cline 團隊直到公開揭露和實際攻擊發生後才修補。
Cline 事件與 ClawHavoc 沒有直接關聯,但共享同一個失敗模式:AI agent 工具生態系的發展速度超過了安全基礎設施。 ClawHub 在沒有掃描的情況下啟動市集。Cline 在沒有強化防護的情況下給 AI agent CI/CD 憑證。兩個假設(「市集是安全的」和「CI bot 是安全的」)在同一個月內崩塌。
OpenClaw 的回應
實事求是:OpenClaw 的回應一旦啟動,速度比多數開源專案都快。
2 月 7 日宣布的 VirusTotal 合作引入三層掃描:
- 上傳時掃描。 每個 skill 都經過 SHA-256 雜湊並比對 VirusTotal 資料庫。新 skills 使用 VirusTotal 的 Code Insight 功能進行上傳分析。
- 每日重新掃描。 現有 skills 每日重新掃描,捕捉初始審核後才變成惡意的 skills,這是套件管理器攻擊中的已知技術。
- 意圖導向審計。 2026 年 2 月的整合引入了行為分析,檢視 skill 啟用後意圖執行什麼,而非僅靜態檔案掃描。
OpenClaw 也承諾發布完整的威脅模型、公開安全路線圖、全程式碼庫安全審計細節,以及有明確 SLA 的正式漏洞回報流程,進度追蹤在 trust.openclaw.ai。
版本 2026.2.12 解決了平台層級的漏洞。CVE-2026-25253(允許 WebSocket 劫持任何 OpenClaw 實例的嚴重 RCE)已修補。引入強制瀏覽器驗證。新增 SSRF 拒絕策略。
客觀評估:回應是必要的,但太晚。市集啟動時沒有任何掃描基礎設施。RCE 漏洞從上線就存在。強制驗證本應是預設值。OpenClaw 先求快速發布再補安全,這個模式在每一個快速成長的開源生態系中都製造過安全債。
對 Skill 市集信任的影響
ClawHavoc 事件是 agent skills 生態系的 npm event-stream 時刻。兩者直接對照:
| 因素 | npm event-stream(2018) | ClawHub ClawHavoc(2026) |
|---|---|---|
| 攻擊向量 | 被妥協的套件依賴 | 市集中的惡意 SKILL.md |
| 載荷 | 加密貨幣錢包竊取 | AMOS:憑證、錢包、SSH 金鑰 |
| 偵測繞過 | 依賴中的混淆程式碼 | 「Prerequisites」中的自然語言 |
| 規模 | 1 個套件,數百萬次安裝 | 1,184 個 skills,~30 萬目標使用者 |
| 根因 | 信任維護者交接 | 信任無掃描的開放市集 |
但有一個關鍵差異。惡意 npm 套件包含可以靜態分析的程式碼。惡意 skills 包含由 LLM 解讀的自然語言指令。如 SkillJect 研究所示,優化的誘導提示達到 95.1% 的攻擊成功率,同時在人類讀者眼中完全無害。
這意味著傳統的安全工具鏈(SAST、DAST、SCA、依賴掃描)無法直接套用到 skills 生態系。VirusTotal 掃描比什麼都沒有強,但如同 OpenClaw 自己承認的,「巧妙隱藏的 prompt injection 載荷可能會漏網」。
三個結構性問題仍在
1. 沒有通用簽章或來源證明。 npm 有 package-lock.json、Sigstore 和 provenance attestations。Skills 生態系沒有對等機制。你無法驗證 skill 是否由聲稱的人發布,或發布後是否被修改。
2. 信任模型是錯的。 Skills 市集繼承了 app store 模型,由中央權威審核和背書內容。但 app store 審核之所以有效,是因為 app 有沙箱。Agent skills 沒有沙箱。它們以 agent 的完整權限執行。有審核但沒有沙箱執行的市集,是虛假的安全感。
3. 行為分析尚未解決。 偵測自然語言指令中的惡意意圖,根本性地比偵測惡意程式碼更困難。安全產業目前還沒有成熟的工具。VirusTotal 的 Code Insight 是起點,不是解答。
給所有使用 Agent Skills 的人的教訓
如果你以任何身分使用 agent skills(從市集安裝、自己撰寫、或管理這樣做的團隊)ClawHub 事件明確了幾個實務結論。
不要把市集審核當成安全保證。 ClawHub 是「最大的審核市集」。其中 12% 是惡意軟體。自己讀 SKILL.md。檢查每個 shell 命令。檢查每個 URL。審計檢查清單就是為此而存在。
把 skills 當成可執行程式碼,不是文件。 心智模型很重要。安裝 skill 時,你是在給一個擁有 shell 存取權的 AI agent 一組新指令。Agent 會遵循。如果指令說「下載這個二進位檔並執行」,agent 會嘗試。如果指令說「讀取 ~/.ssh/id_rsa」,agent 會照做。
審計輔助檔案,不只是 SKILL.md。 SkillJect 技術將惡意載荷藏在輔助腳本中,SKILL.md 本身看起來乾淨。一個呼叫 bash scripts/setup.sh 的無害 SKILL.md,安全性完全取決於 setup.sh。
監控持久化行為。 ClawHavoc skills 修改 SOUL.md 和 MEMORY.md 來植入在移除 skill 後仍存活的指令。如果你安裝過可疑 skill 又刪除了它,檢查你的 agent 設定檔是否有被注入的內容。
鎖定 skill 版本。 一個今天合法的 skill 不代表下個版本也是。版本鎖定保護你免於維護者被妥協,和 npm 中的防禦策略相同。
隔離 skill 評估。 在網路隔離的容器中測試不熟悉的 skills。如果一個 skill 需要網路存取來安裝「前置需求」,那本身就是一個發現,不是功能。
更大的格局
Agent skills 生態系正在重演之前每一個軟體發布機制的安全歷史。npm 有 event-stream。PyPI 有數千個 typosquat 套件。Chrome Web Store 有惡意擴充功能。Docker Hub 有挖礦映像檔。每一個開放的 registry 最終都會發現,開放性和安全性是對立的。
讓 skills 的情況更糟的是攻擊面。惡意 npm 套件需要利用程式碼漏洞。惡意 skill 只需要好好跟 agent 說。LLM 會照辦。攻擊成功率是 95.1%,不是 10.9%。
Agent skills 生態系需要簽章、來源證明、沙箱執行,以及目前尚未成熟的行為分析工具。在那之前,開發者就是最後一道防線。
ClawHub 事件證明了「審核市集」在沒有實質執行力的情況下毫無意義。滲透進來的 341 個 skills 不是精密的零日攻擊。它們是一週齡的 GitHub 帳號上傳帶有假 Prerequisites 區段的 skills。攻擊者的進入門檻是七天和一個 SKILL.md 範本。
這應該讓所有建構在 agent skills 基礎設施上的人感到警惕。
Ready to streamline your terminal workflow?
Multi-terminal drag-and-drop layout, workspace Git sync, built-in AI integration, AST code analysis — all in one app.