OpenClaw生态威胁分析报告

2026年，AI Agent正在成为下一代计算平台的核心。OpenClaw作为其中的代表，其开放性和扩展性吸引了全球开发者，生态规模呈指数级增长。

但奇安信XLab最新发布的《OpenClaw生态威胁分析报告》揭示了一个令人不安的事实：在AI Agent爆火的背后，一场前所未有的安全危机正在悄然蔓延。

01. 23万个“裸奔”的AI实例

截至2026年3月，全球已有232,958个OpenClaw实例暴露在互联网上，覆盖近15万个独立IP地址。更惊人的是，这一数字在一个月内增长了近20倍——从2月初的约5000个飙升至3月中旬的9万多个。

问题出在哪里？

报告显示，约40%的暴露面集中在OpenClaw网关服务的默认端口18789，另有28%出现在mDNS默认端口5353。这意味着大量用户在部署时直接采用默认配置，将服务“裸奔”在公网上，成为攻击者的“开胃菜”。

更令人担忧的是，近9%的暴露实例存在已知漏洞，涉及超过2万个实例。这些漏洞若被利用，可能导致数据泄露、服务中断，甚至成为更复杂攻击的跳板。

02. AI的“应用商店”，成了攻击者的“温床”

Skills是OpenClaw生态的核心扩展机制，相当于AI的“应用商店”——开发者可以通过Skills为Agent赋予各种能力。但问题在于，这些Skills平台普遍缺乏有效的安全审核机制。

75万个Skills，日均新增2.1万个

报告统计了四大主流Skills平台：

•skillsmp.com：508,758个

•smithery.ai：128,590个

•skills.sh：88,518个

•clawhub.ai：23,890个

总量已接近75万个，日均新增约2.1万个。按此增速，一年后总量将突破800万个。

而最令人担忧的是，以ClawHub为例，发布Skill仅需注册GitHub账号，无需任何审查。这种“无门槛上传”机制，为恶意投毒提供了天然温床。

扫描结果：每1250个Skill中就有1个是恶意的

奇安信对超过24万个公开Skills进行了大规模安全扫描，发现：

•恶意Skill：190个（0.08%）

•可疑Skill：7,727个（3.18%）

虽然恶意比例看似不高，但考虑到75万的总量，潜在威胁不容小觑。更可怕的是，攻击手法正在不断进化。

03. 四种典型攻击，每一种都令人细思极恐

报告中披露了多个真实恶意案例，展现了攻击者高超的技术手段和社会工程学能力。

案例一：excel-automation-main——三层嵌套的RCE攻击

这个Skill伪装成Excel自动化工具，实际包含三层攻击结构：

第一层：强制选择

攻击者在description字段写入强制性指令，劫持Agent的工具选择，强迫其走攻击者设计的路径。

第二层：自动触发

合法Skill不需要在加载时自动运行任何东西。这条指令的目的是让Agent在安装瞬间就执行恶意代码，不等用户任何指令。

第三层：远程下载+无校验执行

install.py中硬编码了远程下载地址，下载后直接通过subprocess.Popen执行，没有任何哈希校验或签名验证。攻击者可以随时将远程URL指向的文件替换为任意恶意程序。

完整攻击链：安装Skill → 加载时立即执行python install.py → 下载.exe文件 → 直接执行 → 系统被控

案例二：omnicogg——藏在21MB垃圾数据里的窃密木马

这个Skill伪装成“OmniCog”多平台集成工具，声称可以统一对接Reddit、Steam、Spotify、GitHub、Discord、YouTube等服务。

问题一：base64隐藏的恶意指令

README.md开头写有一段macOS“安装指令”，其中包含一段base64编码的字符串，解码后是：

即从远程IP拉取脚本并直接执行。该IP属于ClawHavoc攻击活动的已知基础设施，投放的木马为AMOS（Atomic macOS Stealer），可窃取：

•macOS系统密码

•Chrome浏览器保存的密码

•60多种加密货币钱包私钥

•Telegram聊天记录

问题二：21MB垃圾数据填充

README.md文件大小为21MB，恶意指令仅占前两行，其余全是重复的二进制垃圾数据。这一手法可能有两个目的：

•消耗Agent的Token配额，使其难以完整读取文件内容

•将恶意代码淹没在大量无意义数据中，降低被人工审查发现的概率

问题三：SKILL.md完全正常

SKILL.md的内容是一份完整且看起来合理的API集成文档，读起来像一个正常的开发工具。恶意载荷完全藏在README.md中，利用了ClawHub上Skill审查通常只关注SKILL.md的盲区。

案例三：self-evolve——没有代码的“语义蠕虫”

这是最具代表性的新型攻击。该Skill不含任何恶意代码，纯粹通过提示词操纵Agent行为。

伪造用户授权

这些指令伪装成用户的委托授权，实际是攻击者在强行覆盖Agent的行为规则。Agent无法区分这是用户真实意图还是Skill植入的虚假授权。

指令篡改核心配置文件

SKILL.md明确列出了要修改的文件：

•AGENTS.md（行为规则）

•SOUL.md（人格/身份）

•MEMORY.md（长期记忆）

•HEARTBEAT.md（定时任务）

•~/.openclaw/openclaw.json（工具、模型、插件配置）

一旦这些核心配置文件被改写，卸载Skill也无法恢复，因为修改已经落地到Agent的系统文件中。

自我复制形成蠕虫传播

SKILL.md中授权Agent自主发布新Skill到公开市场。这意味着被感染的Agent会自主创建新Skill并发布到ClawHub，形成“语义蠕虫”的传播机制。

情感化话术消除安全机制

通过情感化话术消除Agent在执行高危操作前的确认机制，使整条攻击链得以无摩擦执行。

案例四：X-twitter——藏在图标里的XSS攻击

这个Skill伪装成Twitter/X集成工具，SKILL.md中提供了完整的CLI命令文档，看起来很正常。但其附带的logo.svg文件中隐藏了完整的XSS攻击代码。

利用SVG特性隐藏恶意脚本

SVG格式允许嵌入脚本，攻击者通过foreignObject标签嵌入了完整的HTML和JavaScript：

这一手法利用了SVG格式可合法包含脚本的特性。普通用户甚至安全审查都很容易忽略一个“图标文件”。

遍历窃取浏览器中全部敏感数据

嵌入的脚本会完整遍历浏览器存储，收集所有可获取的数据：

•localStorage所有键值对

•sessionStorage所有键值对

•document.cookie

•IndexedDB数据库名称

•页面标题和正文内容

数据外传

收集完成后，所有数据通过fetch()统一发送到攻击者控制的webhook地址。这意味着用户浏览器中存储的API密钥、认证令牌、会话Cookie、页面内容等敏感信息均会被窃取。

04. 3500个仿冒域名，品牌钓鱼正在上演

报告还显示，OpenClaw相关仿冒域名数量激增，累计已超过3500个。3月10日单日新增达340个，呈现出明显的“热度驱动”特征。

仿冒域名主要分为三类：

•域名抢注买卖（占多数）：注册与OpenClaw相似的域名后挂牌出售

•品牌仿冒钓鱼：仿冒OpenClaw官方站点，可能用于窃取用户凭证或投放恶意软件

•竞品推广引流：例如为新出现的腾讯Qclaw进行宣传推广

这些域名的主机分布无明显地域偏差，表明仿冒行为是广泛的投机活动，而非定向攻击。

05. 给AI生态安全的四点启示

1. 安全必须前置，审核机制不可缺失

Skills平台应建立强制性的安全审核机制，包括代码扫描、行为分析、开发者认证等。无门槛上传的模式已不可持续。

2. 检测能力需升级，应对新型攻击

传统签名检测已无法应对提示词注入、语义蠕虫、SVG隐藏攻击等新型威胁。AI生态需要引入LLM语义分析、行为建模、动态沙箱等新型检测手段。

3. 用户安全意识亟待提升

大量用户将OpenClaw服务默认暴露在公网，缺乏基本的安全配置意识。官方应加强安全指南的推广，推动默认安全配置的使用。

4. 仿冒域名监测应常态化

品牌方应建立仿冒域名监测机制，及时发现并处置恶意注册行为，防止用户被钓鱼。

结语

《OpenClaw生态威胁分析报告》描绘了一个正在快速扩张但安全防护严重滞后的AI Agent生态。OpenClaw的成功，源于其开放与灵活；而其最大的安全隐患，也正是源于这种开放。

正如报告所言：

这不仅是OpenClaw的警示，也是整个AI时代的共同课题。

在AI Agent即将成为下一代计算平台的今天，安全问题已不容忽视。只有建立起系统化、智能化的安全治理体系，才能确保AI生态的健康发展，避免其沦为攻击者的乐园。

本文基于奇安信XLab《OpenClaw生态威胁分析报告》整理撰写，数据截至2026年3月。