文章总结: ClawHub市场恶意skills对AIAgent平台构成严重安全威胁。攻击者利用平台漏洞投放隐藏远程控制后门的恶意skills,通过多层编码载荷实现任意代码执行。ClawHavoc攻击行动导致24.7万次安装并窃取230万美元加密货币。超过90%高下载量skill未通过严格审计,用户安装前应审查作者历史与权限声明。 综合评分: 86 文章分类: AI安全,恶意软件,漏洞分析,红队,威胁情报
ClawHub Skills暴露AI Agents远程控制后门与数据窃取风险
FreeBuf
2026年6月30日 19:49 上海
在小说阅读器读本章
去阅读
Part01
AI Agents功能扩展带来新型攻击面
现代AI Agents已超越简单的问答功能,能够代表用户执行操作、管理文件及运行代码。这种能力跃迁同时开启了危险的新攻击维度——针对ClawHub市场的恶意skills已暴露出AI Agent生态系统的严重脆弱性。作为2026年增长最快的开源AI Agent平台OpenClaw的官方技能市场,ClawHub的skills数量从1月的不足2000个激增至4月的5万余个,这种爆炸式增长在吸引数百万用户的同时,也引来了攻击者的持续关注。
腾讯朱雀实验室使用其开源测试平台AIG扫描了近5万个ClawHub skills,发现攻击者早在大多数用户意识到问题前就已预先部署攻击面。2026年1月下旬的”ClawHavoc”攻击行动中,攻击者利用12个遭入侵的账户向ClawHub投放了1184个恶意skills,最终导致24.7万次确认安装并窃取价值230万美元的加密货币。尽管平台事后增加了检测机制,但威胁已演变为更隐蔽的形式。
Part02
高危权限与隐蔽攻击链
Skills在用户环境中拥有完整权限,单次安装即可读写文件、建立网络连接并执行shell命令。这种高级别访问权限与平台的极速扩张相结合,形成了天然防御极少的高价值攻击目标。最令人警觉的发现是某个skill在通过ClawHub所有官方安全检查的同时,隐藏了可运作的远程控制后门。该skill伪装成”分布式状态恢复工具”,配有专业文档和合理的权限请求,表面毫无可疑之处。
实际执行时,它会连接远程C2服务器,获取经过Base64、ROT13和十六进制多层编码的载荷,随后通过Python的pickle模块反序列化执行,在受害者机器上实现任意代码运行。AIG平台通过识别远程获取、链式编码和反序列化的完整组合,将其标记为高风险远程代码执行攻击链。
2026年3月的另一起攻击则利用排名操纵漏洞——攻击者发现可向ClawHub后端发送未认证请求人为提升skill下载量。通过将伪装成”Outlook Graph集成工具”的恶意skill推至排行榜首位,利用AI Agents自主选择工具时优先高下载量skill的特性,实现了无需人工干预的自动安装。
Part03
生态系统级安全风险
腾讯的扫描暴露出超越单个恶意skill的系统性风险。在分析的近5万个skills中,74.6%声明了网络请求权限,意味着四分之三的skill会在正常使用时连接互联网。当恶意流量隐藏在海量常规连接中,检测变得极为困难。
文件访问与网络权限的结合为数据窃取创造了直接路径,平台上存在数百个引用私钥和凭证的路径。上海交通大学SkillProbe团队发现,超过90%的高下载量skill未能通过严格安全审计,打破了”流行skill更安全”的固有认知。前20名开发者共发布5422个skills,其中单个账户三个月内发布955个,符合自动化批量生成特征。这种生产能力使得攻击者可轻松大规模上传伪装样本。
腾讯建议用户在安装任何skill前后执行基础审查:安装前检查作者发布历史、确认权限与声明用途匹配、调查文档中的陌生域名;安装后审计活跃skills的过度权限,优先移除来源不明的高权限skill。
攻击指标(IoCs):
注:IP地址和域名已做无害化处理(如_[.]_),避免意外解析或超链接。仅在MISP、VirusTotal等威胁情报平台中恢复原始格式。
参考来源:
ClawHub Skills Expose AI Agents to Remote Control Backdoors and Data Theft Attacks
ClawHub Skills Expose AI Agents to Remote Control Backdoors and Data Theft Attacks
推荐阅读
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
电报讨论
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:FreeBuf 《ClawHub Skills暴露AI Agents远程控制后门与数据窃取风险》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论