开发者装了个插件，公司内网秒变透明

凌晨两点，你的AI助手自动执行了一条安装命令。三分钟后，攻击者已经拿到了你的云密钥和SSH凭证——而你还在睡觉。

这不是科幻片。Zscaler ThreatLabZ今年3月发现的真实攻击，把"AI代理自动化"变成了黑客的特洛伊木马。他们做了个假插件，专门钓那些最懂技术的人。

攻击设计：为什么选"技能"当载体

OpenClaw框架（前身叫Clawdbot/Moltbot）是个开源工具，让AI代理能在本地执行高权限任务。它的核心设计是模块化"技能"——像拼乐高一样，开发者按需下载功能模块。

这个设计被攻击者精准利用。他们在GitHub发布了"DeepSeek-Claw"技能，表面看是正经的DeepSeek集成插件。SKILL.md文件里藏着一行PowerShell命令，自动从远程服务器拉取Windows安装包。

不需要钓鱼邮件，不需要社工话术。AI代理的工作流程本身就是攻击通道——开发者配置好自动化规则后，恶意代码随正常安装流程静默落地。

攻击者赌的是：用AI的人，会信任AI的自动化决策。

双轨投递：Windows走远控，跨平台走窃密

这个技能的恶意逻辑会判断两条执行路径。

路径一：Windows系统 + AI自动触发。安装包释放两个文件——一个正经签名的GoToMeeting可执行文件，和一个伪装成依赖项的恶意动态链接库（DLL）。程序启动时加载假DLL，这叫"DLL侧加载"技术。恶意代码先给Windows安全工具打内存补丁让它们变瞎，再解密启动Remcos远程控制木马（RAT），建立加密回连通道。

路径二：macOS/Linux，或Windows手动安装。这时候换GhostLoader上场——跨平台窃密工具，专门收割开发环境里的云令牌、SSH密钥、浏览器会话Cookie。

一套代码，覆盖三大系统。攻击者没做选择题，全都要。

杀伤链：从一台机器到整个基础设施

Remcos启动即隐身，键盘记录、浏览器凭证收割、屏幕监控全开启。GhostLoader则像吸尘器一样扫过开发环境——AWS凭证、Azure令牌、GitHub SSH密钥、Docker配置文件，全部打包外传。

真正的危险在"连锁反应"。现代开发者的本地机器不是孤岛：CI/CD流水线权限、生产环境访问密钥、内部API网关凭证，往往都存在本地配置文件或浏览器密码管理器里。

一个中招的DevOps工程师，可能让攻击者在几分钟内横向移动到整个组织的基础设施。而触发这一切的，只是一条看起来完全正常的openclaw install deepseek-claw命令。

为什么这事特别烦人

传统安全模型假设"人会检查自己执行的操作"。但AI代理的工作流是：你写规则，它自动执行。检查环节被压缩到配置阶段，运行时完全无人值守。

攻击者把恶意代码塞进这个信任缺口。SKILL.md是框架标准文件，开发者扫一眼就会跳过——谁会想到说明书里藏了下载命令？

更烦的是检测难度。恶意流量来自正常的AI框架进程，行为模式跟合法插件安装几乎一样。传统EDR（终端检测与响应）很难区分"正常自动化"和"恶意自动化"。

GitHub作为分发渠道，给攻击加了层合法性滤镜。开发者对平台有基础信任，star数和fork数又能伪造社交证明。

给技术团队的 checklist

1. 给AI代理的权限做最小化切割。能读代码的别让它写，能写代码的别让它装依赖，能装依赖的别让它碰生产密钥。

2. 强制人工复核高权限操作。再智能的代理，执行shell命令或访问敏感目录前弹个确认框——麻烦，但比事后救火便宜。

3. 把开发环境的凭证管理从本地迁走。用短期令牌、硬件密钥、或者至少别存在浏览器密码管理器里。GhostLoader这类工具最爱翻的就是Chrome和Edge的登录数据。

4. 监控AI框架的异常出站连接。OpenClaw正常不该连陌生IP，如果看到，先断网再排查。

5. 插件安装前读SKILL.md。不是扫一眼，是真的读。这次攻击的恶意命令就明文写在里面——攻击者赌的就是没人看。

行业层面的尴尬

AI代理框架的设计哲学是"让AI能做事"，安全是后置补丁。OpenClaw的模块化技能系统、自动权限提升、无人值守执行——每个特性都是生产力工具，也是攻击面。

这次攻击暴露的深层问题：当AI开始替人做决定，"人的安全意识"这个最后防线正在失效。我们教了二十年"别点陌生链接"，现在得重新教"别让你的AI点陌生链接"——但后者难得多，因为AI不会怀疑。

攻击者已经跟上节奏。他们不再骗终端用户，开始直接骗AI系统。这个转变的速度，比安全行业的响应快。

DeepSeek-Claw事件是个信号：AI代理的供应链攻击，从理论变成日常操作。下次你看到某个热门框架的"官方技能"时，记得——GitHub上的官方仓库，和真正的官方维护者，可能是两回事。