【导读】OpenClaw(曾用名Clawdbot、Moltbot)以“增加Skills即扩展能力”的思路快速走红,但也把第三方技能包变成新的攻击入口。VirusTotal近期在野外检测到数百个存在恶意行为的OpenClaw技能:它们常伪装成自动化工具、金融分析或更新程序,却在安装流程中诱导用户下载执行外部代码,最终投放后门、信息窃取程序与远程访问工具(RAT)。这类风险不只来自“文件是否带毒”,更来自“工作流是否被武器化”。
一、OpenClaw走红的技术底座:自托管AI代理 + 真实系统权限
OpenClaw的核心定位是自托管(self-hosted)的AI代理:它运行在用户本机,可代表用户执行真实操作,包括但不限于:
- shell 命令执行
- 文件读写与目录操作
- 网络请求与数据抓取
- 调用外部工具链与API进行自动化编排
这种“代理可直接触达本机资源”的能力,使其在个人自动化与效率工具领域扩散极快:用户不再满足于单一脚本,而是希望让代理在多步骤任务中自行决策与执行。
但也正因为它默认工作在“离系统很近”的位置,一旦缺少隔离(例如未进行沙箱隔离),风险边界会从“某个脚本/某个插件”迅速扩大到整台主机:凭据、浏览器数据、开发者密钥、钱包文件、企业IM缓存、各类token与cookie,都可能进入攻击链可触达范围。
此外,OpenClaw的命名演变(Clawdbot → Moltbot → OpenClaw)虽然是产品层面的插曲,却也从侧面反映了其社区与生态在短期内快速聚集、快速迭代的状态——这种速度在安全治理尚未同步时,往往会放大供应链风险。
二、Skills机制:灵活扩展的“微型软件包”,也是默认危险的第三方代码入口
OpenClaw的“技能(Skills)”可以理解为扩展代理能力的微型软件包。一个技能通常围绕一个 SKILL.md 文件构建,其中包含元数据、指令以及使用/安装步骤;同时,技能包还可能包含脚本与其他资源文件。技能既可以本地加载,也常通过公共市场 ClawHub 被检索与安装。
从产品设计角度看,这套机制的优势非常明确:
- 代理无需把所有能力硬编码进核心程序
- 通过添加Skills即可快速接入新工具、新API、新工作流
- 代理可按需读取SKILL.md中的指令并执行相关步骤
但安全问题也随之被“结构性引入”:
- Skills本质是第三方代码
安装技能并不是“装一个描述文件”,而是在引入新的执行单元。只要代理具备shell、文件、网络等能力,技能就等于获得了可观的“操作杠杆”。 - SKILL.md天然适合被用于社会工程
许多技能会要求用户完成“设置步骤”,例如:复制命令到终端、下载并运行二进制文件、导出环境变量、添加权限配置等。对攻击者而言,这些步骤是极佳的“合法外衣”:用户以为是在安装工具,实际上是在执行投放链路。 - 传统检测容易失效:恶意不在包里,而在流程里
某些技能压缩包本身几乎不包含可疑代码,甚至不会被杀毒引擎标记;真正的恶意行为隐藏在“它引导你做什么”——例如从外部站点下载加密压缩包、解密后运行特定可执行文件,或从远程加载混淆脚本并执行。
这使得OpenClaw Skills逐渐从“扩展能力的插件生态”演化成新的供应链攻击面:攻击者不一定要突破系统防护,只要把“看起来有用的技能”铺到市场里,就能在用户主动执行指令的过程中完成感染。
三、VirusTotal的应对:VT Code Insight原生支持OpenClaw Skills,用Gemini 3 Flash做“行为优先”的安全总结
针对这类新出现的滥用模式,VirusTotal在 VirusTotal Code Insight 中加入了对 OpenClaw技能包的原生支持,包括以ZIP形式分发的技能。
其分析方式强调“安全视角的真实行为”,而非仅理解技能宣称的用途:
- 分析从 SKILL.md 开始
- 继续覆盖文档中引用的脚本与资源
- 使用 Gemini 3 Flash 对整个技能做快速安全分析
- 输出重点聚焦:是否下载并执行外部代码、是否访问敏感数据、是否执行网络操作、是否含诱导代理做出不安全行为的指令、是否包含混淆/绕过监管的片段等
这类能力的关键价值在于:把检测对象从“文件静态特征”提升到“技能的执行工作流与安全意图”。在Skills生态里,攻击者的创新空间往往不在二进制层面,而在指令链路与交付方式上——因此“行为总结”比“是否命中某个特征库”更贴近实战。
四、野外观测:已分析3,016个技能,数百个出现恶意特征;风险分两类
截至观测时点,VirusTotal Code Insight已分析超过3,016个OpenClaw技能,其中数百个技能显示出恶意特征。这些发现大体可分为两类:
1)“危险但未必蓄意”的技能:糟糕安全实践与明显漏洞
这类技能可能没有明确恶意意图,但呈现出可被利用的安全问题,例如:
- 不安全的API使用
- 不安全的命令执行
- 硬编码密钥
- 权限范围过大
- 用户输入处理不当
在“快速编码”与自动生成代码普及的背景下,这类问题出现频率上升:代码写得快、发得快,但缺乏完善的安全模型与审计流程,最终把风险带入真实环境。
2)“明确蓄意”的恶意技能:伪装成工具,实为投放器/后门/信息窃取链路
更值得警惕的是第二类:技能包装得很“正当”,例如金融追踪、加密货币分析、社交媒体分析、自动更新程序等,但核心目的不是功能实现,而是诱导用户执行下载与运行步骤,最终落地:
- 投放器(dropper)
- 后门(backdoor)
- 信息窃取程序(stealer)
- 远程访问工具(RAT)
这类技能的危险点在于:它利用了“用户对技能市场与说明文档的信任”,把安全事件转化为供应链事件。
五、案例拆解:hightower6eu的技能集——“文件干净”但“工作流恶意”的典型样本
在众多样本中,一个代表性案例是ClawHub用户 hightower6eu。该用户持续发布大量看似合法的技能,但被识别为恶意传播链路。
- VirusTotal Code Insight已分析与其关联的314项技能(且仍在增长)
- 这些技能均被识别为恶意技能
- 覆盖多种“无害用途”外观(如加密货币分析、财务追踪、社交媒体分析、自动更新等)
- 共同模式:在“安装”阶段要求用户从不受信任来源下载并执行外部代码
为什么传统方式会漏报?
在示例技能“雅虎财经”中,压缩包表面上很“干净”:
- 没有任何杀毒引擎将其标记为恶意
- 压缩包内几乎没有实际代码
但VT Code Insight会聚焦技能“让你做什么”。其结论指向典型投放行为:指示用户在Windows或macOS环境下,从外部来源下载并执行代码。换句话说:恶意不一定存在于技能包文件本身,而存在于技能定义的工作流程——技能充当社会工程包装层,推动远程执行发生。
Windows链路:受密码保护ZIP → 运行openclaw-Agent.exe
该技能对Windows用户的指令包括:从外部GitHub账户下载一个受密码 “openclaw” 保护的ZIP文件,解压后运行其中的可执行文件 openclaw-Agent.exe。该可执行文件提交至VirusTotal后,被多家安全厂商检测为恶意,分类与打包木马一致。
macOS链路:glot.io上的shell脚本 → Base64混淆 → HTTP下载执行 → Mach-O落地
在macOS路径上,技能不会直接给出二进制文件,而是把用户引导至 glot.io 托管的shell脚本,该脚本使用 Base64 混淆。
当Base64有效载荷被解码后,可见其核心行为是:通过纯 HTTP 从远程服务器下载并执行另一个文件。最终阶段落地文件为 x5ki60w1ih838sp7,其类型为 Mach-O可执行文件。该二进制提交到VirusTotal后,被16个安全引擎检测为恶意,分类与窃取型木马和通用恶意软件家族一致。
进一步结合多个自动逆向工程工具与 Gemini 3 Pro 的分析结果,这个样本被识别为木马信息窃取程序,更具体地说是 Atomic Stealer (AMOS) 的一个变种。AMOS在macOS生态中已有较高“知名度”,其典型能力包括隐蔽运行并系统性窃取敏感数据:系统与应用程序密码、浏览器cookie与存储凭据、以及加密货币钱包与相关数据等。
六、OpenClaw用户与平台的现实建议:把Skills当“代码供应链”,而不是“功能插件”
从实操角度,OpenClaw并非完全没有安全构建模块,但有效性的前提是“真的启用并形成习惯”。结合当前暴露出的滥用模式,业界给出的方向集中在四点:
- 将技能文件夹视为可信代码边界:严格控制谁可以修改、谁可以发布、谁可以在生产环境加载。
- 优先选择沙箱环境执行:让代理远离敏感凭证与个人数据,减少“默认就能读到一切”的风险面。
- 对安装步骤保持零信任:凡是要求粘贴命令到shell、运行下载的二进制文件、执行混淆脚本的技能,都应被视为高风险。
- 平台侧引入发布时扫描与标记:对包含远程执行、混淆脚本、以及试图绕过用户监管的指令进行风险提示或阻断;社区技能安装前先扫描,应成为默认动作。
在个人人工智能代理场景里,“供应链”不再是附属细节,而是产品安全性的核心组成部分:技能生态越繁荣,治理越不能缺位。
结语:技术背后的管理思考
OpenClaw Skills被武器化的过程,本质上揭示了一个更普遍的趋势:当AI代理逐步进入真实工作流,组织的风险不再只来自“员工点了钓鱼邮件”,还可能来自“员工安装了一个看似提高效率的自动化技能”。从管理视角看,未来企业需要把AI工具、插件与脚本纳入统一的供应链治理:明确允许使用的技能来源与审批机制;在研发、财务、人力等敏感岗位,强制隔离执行环境与最小权限;并建立可追溯的审计与监控,让“工作流级别的远程执行”能够被及时发现与响应。
这也会直接影响人才与组织能力模型:除了会用AI,员工还需要具备基础的安全辨识能力(例如识别Base64混淆脚本、警惕HTTP下载执行、理解RAT/stealer风险);而安全与IT团队则要把插件生态的风险评估产品化、流程化。正如红海云在探索新一代人力资源管理解决方案时所强调的,技术的终极价值在于赋能组织的同时可控地提升效率:当AI代理成为“新同事”,围绕权限、流程与合规的数字化治理,才是让生产力真正可持续的底座。
