1. 首頁 > 生活百科 > >

OpenClaw集成VirusTotal掃描檢測惡意ClawHub技能

網絡安全沙盒ai瀏覽器有效載荷

OpenClaw集成VirusTotal掃描檢測惡意ClawHub技能

OpenClaw(原名Moltbot和Clawdbot)宣布與谷歌旗下的VirusTotal合作 , 對上傳到其技能市場ClawHub的技能進行掃描 , 這是加強智能體生態系統安全性的更廣泛努力的一部分 。

OpenClaw創始人Peter Steinberger與Jamieson O'Reilly和Bernardo Quintero表示:\"現在所有發布到ClawHub的技能都會使用VirusTotal的威脅情報進行掃描 , 包括他們的新Code Insight功能 。 這為OpenClaw社區提供了額外的安全保護層 。 \"
該過程本質上是為每個技能創建唯一的SHA-256哈希值 , 并與VirusTotal的數據庫進行交叉檢查以查找匹配項 。 如果未找到 , 技能包會上傳到惡意軟件掃描工具 , 使用VirusTotal Code Insight進行進一步分析 。
被Code Insight判定為\"良性\"的技能會被ClawHub自動批準 , 而標記為可疑的技能會被標記警告 。 任何被認定為惡意的技能都會被阻止下載 。 OpenClaw還表示 , 所有活動技能每天都會重新掃描 , 以檢測以前干凈的技能變成惡意的情況 。
不過 , OpenClaw維護者也警告說 , VirusTotal掃描\"不是萬能藥\" , 一些使用巧妙隱藏的提示注入有效載荷的惡意技能可能會漏網 。
除了與VirusTotal的合作外 , 該平臺還將發布全面的威脅模型、公共安全路線圖、正式的安全報告流程 , 以及整個代碼庫安全審計的詳細信息 。
這一發展是在有報告發現ClawHub上存在數百個惡意技能之后出現的 , 這促使OpenClaw添加了一個報告選項 , 允許已登錄用戶標記可疑技能 。 多項分析發現 , 這些技能偽裝成合法工具 , 但在底層隱藏著惡意功能 , 用于泄露數據、注入后門進行遠程訪問或安裝竊取器惡意軟件 。
思科上周指出:\"具有系統訪問權限的AI智能體可能成為隱秘的數據泄露渠道 , 繞過傳統的數據丟失防護、代理和端點監控 。 其次 , 模型還可以成為執行編排器 , 其中提示本身成為指令 , 使用傳統安全工具很難捕獲 。 \"
開源智能體人工智能助手OpenClaw和相鄰社交網絡Moltbook最近的病毒式流行引發了安全擔憂 。 Moltbook是一個基于OpenClaw構建的自主AI智能體在類似Reddit的平臺上相互交互的社交網絡 。
雖然OpenClaw作為自動化引擎觸發工作流程、與在線服務交互并跨設備操作 , 但賦予技能的根深蒂固的訪問權限 , 加上它們可以處理來自不受信任來源的數據 , 可能為惡意軟件和提示注入等風險打開大門 。
換句話說 , 這些集成雖然方便 , 但顯著擴大了攻擊面 , 增加了智能體消費的不受信任輸入的集合 , 將其變成數據泄露和其他惡意行為的\"智能體特洛伊木馬\" 。 Backslash Security將OpenClaw描述為\"有手的AI\" 。
OpenClaw指出:\"與完全按照代碼指令執行的傳統軟件不同 , AI智能體解釋自然語言并做出行動決策 。 它們模糊了用戶意圖和機器執行之間的界限 。 它們可以通過語言本身被操縱 。 \"
OpenClaw還承認 , 技能所擁有的能力——用于擴展AI智能體的能力 , 如控制智能家居設備到管理財務——可能被惡意行為者濫用 , 他們可以利用智能體對工具和數據的訪問來泄露敏感信息、執行未經授權的命令、代表受害者發送消息 , 甚至在他們不知情或未同意的情況下下載和運行額外的有效載荷 。
【OpenClaw集成VirusTotal掃描檢測惡意ClawHub技能】更重要的是 , 隨著OpenClaw越來越多地部署在員工端點上而沒有正式的IT或安全批準 , 這些智能體的提升特權可以進一步啟用shell訪問、數據移動和標準安全控制之外的網絡連接 , 為企業創建了新的影子AI風險類別 。
Astrix Security研究員Tomer Yahalom說:\"無論您是否批準 , OpenClaw和類似工具都會出現在您的組織中 。 員工會安裝它們 , 因為它們確實有用 。 唯一的問題是您是否會知道它 。 \"
最近幾天出現的一些嚴重安全問題如下:
在早期版本中發現的一個現已修復的問題 , 可能導致代理流量被錯誤分類為本地流量 , 繞過某些互聯網暴露實例的身份驗證 。
OX Security的Moshe Siman Tov Bustan和Nir Zadok說:\"OpenClaw以明文存儲憑據 , 使用不安全的編碼模式 , 包括直接使用用戶輸入進行eval , 沒有隱私政策或明確的問責制 。 常見的卸載方法會留下敏感數據——完全撤銷訪問權限比大多數用戶意識到的要困難得多 。 \"
一種零點擊攻擊 , 濫用OpenClaw的集成在受害者端點上植入后門進行持久控制 , 當AI智能體處理看似無害的文檔時 , 會導致執行間接提示注入有效載荷 , 使其能夠響應來自攻擊者控制的Telegram機器人的消息 。
嵌入在網頁中的間接提示注入 , 當作為要求大語言模型總結頁面內容的無害提示的一部分進行解析時 , 會導致OpenClaw將攻擊者控制的指令集附加到~/.openclaw/workspace/HEARTBEAT.md文件中 , 并靜默等待來自外部服務器的進一步命令 。
對ClawHub市場上3984個技能的安全分析發現 , 283個技能(約占整個注冊表的7.1%)包含嚴重安全缺陷 , 通過大語言模型的上下文窗口和輸出日志以明文形式暴露敏感憑據 。
Bitdefender的報告顯示 , 惡意技能經常使用小的名稱變化進行克隆和大規模重新發布 , 有效載荷通過glot.io等粘貼服務和公共GitHub存儲庫進行分階段傳輸 。
影響OpenClaw的現已修補的一鍵遠程代碼執行漏洞 , 可能允許攻擊者誘騙用戶訪問惡意網頁 , 導致網關控制UI通過WebSocket通道泄露OpenClaw身份驗證令牌 , 并隨后使用它在主機上執行任意命令 。
OpenClaw的網關默認綁定到0.0.0.0:18789 , 將完整API暴露給任何網絡接口 。 根據Censys的數據 , 截至2026年2月8日 , 有超過30000個暴露的實例可通過互聯網訪問 , 盡管大多數需要令牌值才能查看和與之交互 。
在假設的攻擊場景中 , 嵌入在專門制作的WhatsApp消息中的提示注入有效載荷可用于從暴露的OpenClaw實例中泄露存儲憑據、API密鑰和連接消息平臺的會話令牌的\".env\"和\"creds.json\"文件 。
屬于Moltbook的配置錯誤的Supabase數據庫在客戶端JavaScript中暴露 , 使得網站上注冊的每個智能體的秘密API密鑰都可以自由訪問 , 并允許對平臺數據進行完整的讀寫訪問 。 據Wiz稱 , 暴露包括150萬個API身份驗證令牌、35000個電子郵件地址和智能體之間的私人消息 。
發現威脅行為者利用Moltbook的平臺機制來擴大影響范圍 , 并將其他智能體引導到包含提示注入的惡意線程 , 以操縱它們的行為并提取敏感數據或竊取加密貨幣 。
Zenity Labs說:\"Moltbook可能也無意中創建了一個實驗室 , 在這個實驗室中 , 智能體可能是高價值目標 , 不斷處理和接觸不受信任的數據 , 而且平臺中沒有設置護欄——這都是有意設計的 。 \"
HiddenLayer研究員Conor McCauley、Kasimir Schulz、Ryan Tracey和Jason Martin指出:\"第一個 , 也許是最嚴重的問題是 , OpenClaw依賴配置的語言模型做出許多安全關鍵決策 。 除非用戶主動啟用OpenClaw基于Docker的工具沙盒功能 , 否則完整的系統級訪問仍然是默認設置 。 \"
這家AI安全公司確定的其他架構和設計問題包括OpenClaw未能過濾包含控制序列的不受信任內容、對間接提示注入的無效護欄、可修改的記憶和系統提示會持續到未來的聊天會話、API密鑰和會話令牌的明文存儲 , 以及在執行工具調用之前沒有明確的用戶批準 。
Permiso Security在上周發布的報告中認為 , 由于智能體對用戶數據的廣泛訪問 , OpenClaw生態系統的安全性比應用商店和瀏覽器擴展市場更加重要 。
安全研究員Ian Ahl指出:\"AI智能體獲得了你整個數字生活的憑據 。 與在某種隔離級別的沙盒中運行的瀏覽器擴展不同 , 這些智能體以您授予它們的完整權限運行 。 \"
\"技能市場加劇了這一點 。 當您安裝惡意瀏覽器擴展時 , 您正在危害一個系統 。 當您安裝惡意智能體技能時 , 您可能正在危害該智能體擁有憑據的每個系統 。 \"
與OpenClaw相關的一長串安全問題促使中國工業和信息化部發布關于配置錯誤實例的警報 , 敦促用戶實施保護措施以防范網絡攻擊和數據泄露 , 路透社報道 。
SOCRadar的CISO Ensar Seker通過電子郵件告訴The Hacker News:\"當智能體平臺的病毒式傳播速度超過安全實踐成熟時 , 配置錯誤成為主要攻擊面 。 風險不在于智能體本身;而在于在沒有強化身份、訪問控制和執行邊界的情況下將自主工具暴露給公共網絡 。 \"
\"這里值得注意的是 , 中國監管機構明確指出了配置風險 , 而不是禁止該技術 。 這與防御者已經知道的一致:智能體框架既放大生產力又放大爆炸半徑 。 單個暴露的端點或過于寬松的插件可以將AI智能體變成攻擊者的無意自動化層 。 \"
Q&A
Q1:OpenClaw與VirusTotal合作的具體掃描流程是什么?
A:OpenClaw為每個上傳到ClawHub的技能創建唯一的SHA-256哈希值 , 并與VirusTotal數據庫進行交叉檢查 。 如果未找到匹配項 , 技能包會上傳到VirusTotal進行Code Insight分析 。 良性技能自動批準 , 可疑技能標記警告 , 惡意技能被阻止下載 。 所有活動技能每天重新掃描 。
Q2:OpenClaw存在哪些主要安全風險?
A:主要風險包括:技能可能包含惡意功能進行數據泄露和后門植入;智能體具有系統級訪問權限可繞過傳統安全控制;明文存儲憑據和API密鑰;缺乏有效的提示注入防護;默認綁定到所有網絡接口暴露API;配置錯誤可能導致身份驗證繞過等多個安全問題 。
Q3:為什么OpenClaw的安全問題比普通應用更嚴重?
A:因為AI智能體獲得了用戶整個數字生活的憑據 , 具有完整的系統權限運行 。 與在沙盒中運行的瀏覽器擴展不同 , 安裝惡意智能體技能可能危害該智能體擁有憑據的每個系統 。 智能體平臺放大了生產力的同時也放大了爆炸半徑 , 單個漏洞可能造成廣泛影響 。

    推薦閱讀