小心!ClawHub 藏了 1184 個惡意技能:竊取加密錢包私鑰、SSH 金鑰、瀏覽器密碼…
OpenClaw 技能市集被揭露藏有逾千個惡意插件,專門竊取 SSH 金鑰與加密錢包私鑰。AI 工具生態的「信任預設」,正在成為 Web3 最被低估的攻擊面。
(前情提要: 彭博:a16z 何以成為美國 AI 政策背後的關鍵力量?)
(背景補充: Arthur Hayes 最新文章:AI 將引爆信用崩潰,聯準會終將「無限印鈔」點燃比特幣)
本文目錄
- 文字不再只是文字,而是指令
- Moonwell 的 178 萬美元教訓
- 信任的預設值錯了
慢霧創辦人余弦稍早在 X 平台發出警告:OpenClaw 的 ClawHub 技能市集中,約有 1,184 個惡意技能插件,能夠竊取使用者的 SSH 金鑰、加密貨幣錢包私鑰、瀏覽器密碼,甚至建立反向 Shell 後門。排名最高的惡意技能包含 9 個漏洞,下載次數更已達數千。
再次提醒:文本不再是文本,而是指令。玩 AI 这些工具要用独立环境…
Skills 很危险⚠️
Skills 很危险⚠️
Skills 很危险⚠️ https://t.co/GZ3hhathkE— Cos(余弦)😶🌫️ (@evilcos) February 20, 2026
ClawHub 是近期爆紅的 OpenClaw(前身 clawbot) 的官方技能市集。使用者在上面安裝第三方擴充套件,讓 AI 代理執行從程式碼部署到錢包管理的各種任務。
安全公司 Koi Security 在 1 月底率先揭露了這場被命名為「ClawHavoc」的攻擊行動,初步識別出 341 個惡意技能。隨後,獨立安全研究員與 Antiy CERT 將範圍擴大至 1,184 個,涉及 12 個發布帳號。其中一個化名 hightower6eu 的攻擊者,獨自上傳了 677 個套件,超過總數的一半。
換句話說,一個人就汙染了整個市集過半的惡意內容,而平台的審核機制完全沒有攔住。
文字不再只是文字,而是指令
這些惡意技能的手法並不粗糙。它們偽裝成加密貨幣交易機器人、Solana 錢包追蹤器、Polymarket 策略工具、YouTube 摘要器,配有專業文件說明。而真正的殺招藏在 SKILL.md 檔案的「前置條件」區段:指引使用者從外部網站複製一段混淆處理的 Shell 腳本,貼到終端機執行。
這段腳本會從 C2 伺服器下載 Atomic Stealer(AMOS)一款月費 500 至 1,000 美元的 macOS 資訊竊取工具。
AMOS 的掃描範圍涵蓋瀏覽器密碼、SSH 金鑰、Telegram 對話紀錄、Phantom 錢包私鑰、交易所 API 金鑰,以及桌面和文件資料夾中的所有檔案。攻擊者甚至註冊了多個 ClawHub 的拼寫變體(clawhub1、clawhubb、cllawhub)進行域名仿冒,而兩個 Polymarket 主題的技能更包含反向 Shell 後門。
惡意技能的文件中還嵌入了 AI 提示詞指令,設計用來欺騙 OpenClaw 代理本身,讓 AI 反過來「建議」使用者執行惡意命令。余弦的總結一針見血:「文字不再只是文字,而是指令。」使用 AI 工具時,應該使用獨立環境。
這正是問題的核心。當使用者信任 AI 的建議,而 AI 的建議來源被汙染時,整條信任鏈就斷了。
Moonwell 的 178 萬美元教訓
余弦在同一則警告中特別提到了另一起事件:DeFi 借貸協議 Moonwell 在 2 月 15 日因預言機錯誤產生了 178 萬美元的壞帳。
問題出在一段計算 cbETH 美元價格的程式碼,它忘了將 cbETH/ETH 的匯率乘以 ETH/USD 的價格,導致 cbETH 被定價為約 1.12 美元而非實際的 2,200 美元。清算機器人隨即掃過所有以 cbETH 作為抵押品的倉位,181 名借款人損失約 268 萬美元。
區塊鏈安全審計師 Krum Pashov 追查發現,這段程式碼的 GitHub 提交紀錄標註了「Co-Authored-By: Claude Opus 4.6」。NeuralTrust 的分析精準描述了這個陷阱:「程式碼看起來是對的,能編譯,也通過了基本單元測試,但在 DeFi 的對抗性環境中徹底失敗。」
更值得警惕的是,人工審查、GitHub Copilot 和 OpenZeppelin Code Inspector 三道防線全數未能發現那個缺失的乘法步驟。
社群將這起事件稱為「Vibe Coding 時代的重大安全事故」。余弦引用這個案例的用意很明確:Web3 的安全威脅已經不再侷限於智能合約本身,AI 工具正在成為新的攻擊面。
信任的預設值錯了
OpenClaw 的創辦人 Peter Steinberger 已經實施社群檢舉機制,達 3 次舉報即自動隱藏可疑技能。Koi Security 也發布了掃描工具 Clawdex,但這些都是亡羊補牢。
根本問題在於,AI 工具生態系統的預設是「信任」,信任上架的技能是安全的、信任 AI 的建議是正確的、信任生成的程式碼是可靠的。當這個生態系統管理的是加密錢包和 DeFi 協議時,預設值錯了,代價就是真金白銀。
備註:VanEck 的數據顯示,2025 年底加密領域已有超過 1 萬個 AI 代理,預計 2026 年將突破 100 萬。
相關文章