OpenClaw集成VirusTotal扫描检测恶意ClawHub技能

OpenClaw（原名Moltbot和Clawdbot）宣布与谷歌旗下的VirusTotal合作，对上传到其技能市场ClawHub的技能进行扫描，这是加强智能体生态系统安全性的更广泛努力的一部分。

OpenClaw创始人Peter Steinberger与Jamieson O'Reilly和Bernardo Quintero表示："现在所有发布到ClawHub的技能都会使用VirusTotal的威胁情报进行扫描，包括他们的新Code Insight功能。这为OpenClaw社区提供了额外的安全保护层。"

该过程本质上是为每个技能创建唯一的SHA-256哈希值，并与VirusTotal的数据库进行交叉检查以查找匹配项。如果未找到，技能包会上传到恶意软件扫描工具，使用VirusTotal Code Insight进行进一步分析。

被Code Insight判定为"良性"的技能会被ClawHub自动批准，而标记为可疑的技能会被标记警告。任何被认定为恶意的技能都会被阻止下载。OpenClaw还表示，所有活动技能每天都会重新扫描，以检测以前干净的技能变成恶意的情况。

不过，OpenClaw维护者也警告说，VirusTotal扫描"不是万能药"，一些使用巧妙隐藏的提示注入有效载荷的恶意技能可能会漏网。

除了与VirusTotal的合作外，该平台还将发布全面的威胁模型、公共安全路线图、正式的安全报告流程，以及整个代码库安全审计的详细信息。

这一发展是在有报告发现ClawHub上存在数百个恶意技能之后出现的，这促使OpenClaw添加了一个报告选项，允许已登录用户标记可疑技能。多项分析发现，这些技能伪装成合法工具，但在底层隐藏着恶意功能，用于泄露数据、注入后门进行远程访问或安装窃取器恶意软件。

思科上周指出："具有系统访问权限的AI智能体可能成为隐秘的数据泄露渠道，绕过传统的数据丢失防护、代理和端点监控。其次，模型还可以成为执行编排器，其中提示本身成为指令，使用传统安全工具很难捕获。"

开源智能体人工智能助手OpenClaw和相邻社交网络Moltbook最近的病毒式流行引发了安全担忧。Moltbook是一个基于OpenClaw构建的自主AI智能体在类似Reddit的平台上相互交互的社交网络。

虽然OpenClaw作为自动化引擎触发工作流程、与在线服务交互并跨设备操作，但赋予技能的根深蒂固的访问权限，加上它们可以处理来自不受信任来源的数据，可能为恶意软件和提示注入等风险打开大门。

换句话说，这些集成虽然方便，但显著扩大了攻击面，增加了智能体消费的不受信任输入的集合，将其变成数据泄露和其他恶意行为的"智能体特洛伊木马"。Backslash Security将OpenClaw描述为"有手的AI"。

OpenClaw指出："与完全按照代码指令执行的传统软件不同，AI智能体解释自然语言并做出行动决策。它们模糊了用户意图和机器执行之间的界限。它们可以通过语言本身被操纵。"

OpenClaw还承认，技能所拥有的能力——用于扩展AI智能体的能力，如控制智能家居设备到管理财务——可能被恶意行为者滥用，他们可以利用智能体对工具和数据的访问来泄露敏感信息、执行未经授权的命令、代表受害者发送消息，甚至在他们不知情或未同意的情况下下载和运行额外的有效载荷。

更重要的是，随着OpenClaw越来越多地部署在员工端点上而没有正式的IT或安全批准，这些智能体的提升特权可以进一步启用shell访问、数据移动和标准安全控制之外的网络连接，为企业创建了新的影子AI风险类别。

Astrix Security研究员Tomer Yahalom说："无论您是否批准，OpenClaw和类似工具都会出现在您的组织中。员工会安装它们，因为它们确实有用。唯一的问题是您是否会知道它。"

最近几天出现的一些严重安全问题如下：

在早期版本中发现的一个现已修复的问题，可能导致代理流量被错误分类为本地流量，绕过某些互联网暴露实例的身份验证。

OX Security的Moshe Siman Tov Bustan和Nir Zadok说："OpenClaw以明文存储凭据，使用不安全的编码模式，包括直接使用用户输入进行eval，没有隐私政策或明确的问责制。常见的卸载方法会留下敏感数据——完全撤销访问权限比大多数用户意识到的要困难得多。"

一种零点击攻击，滥用OpenClaw的集成在受害者端点上植入后门进行持久控制，当AI智能体处理看似无害的文档时，会导致执行间接提示注入有效载荷，使其能够响应来自攻击者控制的Telegram机器人的消息。

嵌入在网页中的间接提示注入，当作为要求大语言模型总结页面内容的无害提示的一部分进行解析时，会导致OpenClaw将攻击者控制的指令集附加到~/.openclaw/workspace/HEARTBEAT.md文件中，并静默等待来自外部服务器的进一步命令。

对ClawHub市场上3,984个技能的安全分析发现，283个技能（约占整个注册表的7.1%）包含严重安全缺陷，通过大语言模型的上下文窗口和输出日志以明文形式暴露敏感凭据。

Bitdefender的报告显示，恶意技能经常使用小的名称变化进行克隆和大规模重新发布，有效载荷通过glot.io等粘贴服务和公共GitHub存储库进行分阶段传输。

影响OpenClaw的现已修补的一键远程代码执行漏洞，可能允许攻击者诱骗用户访问恶意网页，导致网关控制UI通过WebSocket通道泄露OpenClaw身份验证令牌，并随后使用它在主机上执行任意命令。

OpenClaw的网关默认绑定到0.0.0.0:18789，将完整API暴露给任何网络接口。根据Censys的数据，截至2026年2月8日，有超过30,000个暴露的实例可通过互联网访问，尽管大多数需要令牌值才能查看和与之交互。

在假设的攻击场景中，嵌入在专门制作的WhatsApp消息中的提示注入有效载荷可用于从暴露的OpenClaw实例中泄露存储凭据、API密钥和连接消息平台的会话令牌的".env"和"creds.json"文件。

属于Moltbook的配置错误的Supabase数据库在客户端JavaScript中暴露，使得网站上注册的每个智能体的秘密API密钥都可以自由访问，并允许对平台数据进行完整的读写访问。据Wiz称，暴露包括150万个API身份验证令牌、35,000个电子邮件地址和智能体之间的私人消息。

发现威胁行为者利用Moltbook的平台机制来扩大影响范围，并将其他智能体引导到包含提示注入的恶意线程，以操纵它们的行为并提取敏感数据或窃取加密货币。

Zenity Labs说："Moltbook可能也无意中创建了一个实验室，在这个实验室中，智能体可能是高价值目标，不断处理和接触不受信任的数据，而且平台中没有设置护栏——这都是有意设计的。"

HiddenLayer研究员Conor McCauley、Kasimir Schulz、Ryan Tracey和Jason Martin指出："第一个，也许是最严重的问题是，OpenClaw依赖配置的语言模型做出许多安全关键决策。除非用户主动启用OpenClaw基于Docker的工具沙盒功能，否则完整的系统级访问仍然是默认设置。"

这家AI安全公司确定的其他架构和设计问题包括OpenClaw未能过滤包含控制序列的不受信任内容、对间接提示注入的无效护栏、可修改的记忆和系统提示会持续到未来的聊天会话、API密钥和会话令牌的明文存储，以及在执行工具调用之前没有明确的用户批准。

Permiso Security在上周发布的报告中认为，由于智能体对用户数据的广泛访问，OpenClaw生态系统的安全性比应用商店和浏览器扩展市场更加重要。

安全研究员Ian Ahl指出："AI智能体获得了你整个数字生活的凭据。与在某种隔离级别的沙盒中运行的浏览器扩展不同，这些智能体以您授予它们的完整权限运行。"

"技能市场加剧了这一点。当您安装恶意浏览器扩展时，您正在危害一个系统。当您安装恶意智能体技能时，您可能正在危害该智能体拥有凭据的每个系统。"

与OpenClaw相关的一长串安全问题促使中国工业和信息化部发布关于配置错误实例的警报，敦促用户实施保护措施以防范网络攻击和数据泄露，路透社报道。

SOCRadar的CISO Ensar Seker通过电子邮件告诉The Hacker News："当智能体平台的病毒式传播速度超过安全实践成熟时，配置错误成为主要攻击面。风险不在于智能体本身；而在于在没有强化身份、访问控制和执行边界的情况下将自主工具暴露给公共网络。"

"这里值得注意的是，中国监管机构明确指出了配置风险，而不是禁止该技术。这与防御者已经知道的一致：智能体框架既放大生产力又放大爆炸半径。单个暴露的端点或过于宽松的插件可以将AI智能体变成攻击者的无意自动化层。"

Q&A

Q1：OpenClaw与VirusTotal合作的具体扫描流程是什么？

A：OpenClaw为每个上传到ClawHub的技能创建唯一的SHA-256哈希值，并与VirusTotal数据库进行交叉检查。如果未找到匹配项，技能包会上传到VirusTotal进行Code Insight分析。良性技能自动批准，可疑技能标记警告，恶意技能被阻止下载。所有活动技能每天重新扫描。

Q2：OpenClaw存在哪些主要安全风险？

A：主要风险包括：技能可能包含恶意功能进行数据泄露和后门植入；智能体具有系统级访问权限可绕过传统安全控制；明文存储凭据和API密钥；缺乏有效的提示注入防护；默认绑定到所有网络接口暴露API；配置错误可能导致身份验证绕过等多个安全问题。

Q3：为什么OpenClaw的安全问题比普通应用更严重？

A：因为AI智能体获得了用户整个数字生活的凭据，具有完整的系统权限运行。与在沙盒中运行的浏览器扩展不同，安装恶意智能体技能可能危害该智能体拥有凭据的每个系统。智能体平台放大了生产力的同时也放大了爆炸半径，单个漏洞可能造成广泛影响。