安全研究人员警告称,围绕“OpenClaw”(这款自托管人工智能助手的前身曾名为Clawdbot和Moltbot)日益增长的生态系统,已成为恶意软件传播的目标。根据OpenSourceMalware发布的一份报告,在1月27日至29日期间,至少有14个恶意“技能”被上传至ClawHub。这些技能伪装成加密货币交易或钱包自动化工具,试图向用户系统投递恶意软件。
受影响的技能托管在ClawHub上,这是一个旨在方便OpenClaw用户查找和安装第三方扩展的公共注册中心。该生态系统中的技能并非沙盒脚本,而是可执行代码的文件夹,一旦安装并启用,便可直接与本地文件系统交互并访问网络资源。
OpenSourceMalware表示,其分析的恶意技能同时针对Windows和macOS用户,并依赖社会工程学手段进行传播。在多个案例中,用户被指示复制并粘贴经过混淆处理的终端命令,作为“设置”过程的一部分,这些命令会获取并执行远程脚本。这是威胁行为者用来窃取浏览器数据和加密货币钱包信息的常用技术。
其中一个被标记的技能在被移除前曾出现在ClawHub的首页,这极大地增加了用户无意中安装的可能性。一位遇到此列表的用户描述称,他被提示运行一条单行命令,该命令会从外部服务器拉取代码——对于经验更丰富的开发者来说,这会立即引发危险警报,但对于毫无戒心的普通用户来说,则很容易上当受骗。
不幸的是,随着代理式人工智能工具的兴起,我们可以预见此类事件会越来越多。OpenClaw的吸引力在于它能够代表用户执行操作,将文件访问和命令执行等功能串联起来以简化工作负载。然而,当引入第三方代码时,这种能力同样会制造漏洞;OpenClaw的安全文档警告称,技能和插件应被视为可信代码,安装它们等同于授予本地执行权限。
这并非首次有人试图利用OpenClaw的突然流行。就在几天前,安全研究人员还记录了一个冒充该助手的虚假Visual Studio Code扩展,该扩展在被下架前能够投递远程访问负载。该项目最近因商标纠纷从Clawdbot更名为Moltbot——随后又在短短几天内从Moltbot再次更名为OpenClaw——这进一步使问题复杂化,因为攻击者可以在其社会工程学尝试中冒充多个名称。
在更严格的审核或验证机制出现之前,OpenClaw的技能生态系统实际上是在信任的基础上运作。任何从公共注册中心获取技能的人都应谨慎对待,以审查任何其他可执行依赖项的同等严格程度来审查它们,对于需要手动执行命令的说明尤其需要格外小心。
