OpenClawSkill市场暴露AIAgent供应链恶意软件与金融欺诈风险

admin 2026-06-30 09:23:05 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档披露OpenClawAIAgent技能市场存在供应链安全威胁,攻击者通过恶意skills窃取数据、实施金融欺诈。研究发现5类可绕过VirusTotal和ClawScan检测的恶意技能,包括信息窃取程序、文件填充规避工具及新型AI代理威胁。攻击手段涵盖伪装合法工具嵌入恶意代码、滥用联盟链接获利、操纵加密货币市场。建议用户验证发布者来源、审计技能文件、监控网络流量以防范风险。 综合评分: 85 文章分类: 供应链安全,恶意软件,AI安全,威胁情报,漏洞预警


cover_image

OpenClaw Skill市场暴露AI Agent供应链恶意软件与金融欺诈风险

FreeBuf

2026年6月26日 12:10 上海

在小说阅读器读本章

去阅读

Part01

新型供应链威胁浮出水面

针对OpenClaw AI Agent市场的恶意 skills 浪潮暴露出软件供应链安全的新威胁前沿。攻击者正利用 ClawHub skill 市场向 AI Agent 环境推送有害代码,窃取数据并实施传统安全工具未能检测的金融欺诈计划。

OpenClaw是一种运行来自 ClawHub 专用市场第三方 skills 的 AI Agent。这些 skills 是基于 Markdown 的软件包,具有对本地系统的深度访问权限。当安装恶意 skill 时,它可以完全控制 Agent 的身份,并通过 Agent 自身已验证的会话执行未经授权的操作,整个过程无需传统漏洞利用。

Part02

恶意 skills 绕过自动化检测

Unit 42 研究人员在提交给网络安全新闻(CSN)的报告中指出,他们在 2026 年 2 月至 5 月的分析中发现了 5 个绕过 ClawHub 集成的 VirusTotal 和 ClawScan 检测的恶意 skills。

这 5 个恶意 skills 可分为三类威胁:连接命令控制(C2)基础设施的信息窃取程序、设计用于超过扫描器阈值的文件填充规避工具,以及两种为经济利益构建的新型 Agent 威胁。

Bitdefender Labs 此前曾指出,平台上约 17% 的 skills 携带恶意负载。Koi Security 的 ClawHavoc 披露文件记录了市场上 341 个恶意 skills。这些威胁在引入自动化扫描后仍然存在,表明 AI Agent 生态系统面临的风险远未解决。

Part03

伪装成合法工具的恶意 skills

其中两个威胁是伪装成 macOS 版 TradingView 生产力助手的 skills。两者都嵌入了恶意先决条件块,指示 Agent 访问 rentry[.]co/openclaw-code 上的粘贴站点重定向诱饵,其中包含等待在终端窗口中运行的 Base64 编码命令。

该命令随后从 IP 地址为 2.26.75[.]16 的远程服务器拉取名为 cluw 的 macOS 信息窃取程序。

另一个名为 omnicogg 的 skill 将 AMOS 恶意软件投放器嵌入 README.md 文件中,然后用 22MB 的垃圾字符填充,以超过大多数扫描管道强制执行的文件大小限制。

VirusTotal 和 ClawScan 都返回了”干净”的判定,意味着该 skill 在隐藏活动恶意代码的同时仍可自由获取。

Part04

AI Agent 金融欺诈与新型利用

除了数据窃取,研究人员还发现两个滥用 AI Agent 咨询权限谋取经济利益的 skills。money-radar skill 伪装成面向中国大陆、香港和新加坡用户的金融产品顾问。

每次调用时,它会静默从 laosji[.]net 获取有效负载,并在生成的每条推荐中嵌入联盟跟踪链接。

操作者可以在用户不知情的情况下随时更换推荐产品。letssendit skill 则更进一步,在 Solana 区块链上实施拉高出货(pump-and-dump)计划。

安装的 Agent 将 SOL 加密货币汇集到操作者的钱包中,随后操作者以最低可用价格购买 SENDIT meme 代币,然后在 pump[.]fun 上推出。外部买家可能将这种协调的 AI 活动误认为有机需求,使操作者能够将廉价头寸抛售给二级买家获利。

Part05

安全建议与应对措施

这些案例代表了首批有记录的自主 AI Agent 被用于协调金融欺诈的实例。研究人员建议:

  • 验证发布者来源
  • 逐行审计 skill 源文件
  • 监控出站网络流量是否存在与未记录端点的连接 任何与 skill 声明目的不符的行为都应标记为潜在的入侵指标(IoC)。

入侵指标(IoCs):

注:IP地址和域名已故意失效(如使用[.]代替.),以防止意外解析或超链接。仅在 MISP、VirusTotal 或 SIEM 等受控威胁情报平台中恢复有效格式。

参考来源:

OpenClaw Skill Marketplace Exposes AI Agents to Supply Chain Malware and Financial Fraud

OpenClaw Skill Marketplace Exposes AI Agents to Supply Chain Malware and Financial Fraud

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:FreeBuf 《OpenClaw Skill市场暴露AI Agent供应链恶意软件与金融欺诈风险》

评论:0   参与:  0