Virustotal对OpenClaw恶意技能(Skills)的跟踪分析

推荐语

OpenClaw技能生态的繁荣背后暗藏危机，VirusTotal揭露恶意技能如何被武器化。

核心内容：
1. OpenClaw的演变历程与核心风险机制
2. 技能系统设计缺陷如何成为恶意软件温床
3. VirusTotal最新推出的安全检测方案

杨芳贤

53AI创始人/腾讯云(TVP)最具价值专家

增长最快的个人人工智能代理生态系统如今却沦为恶意软件的新传播渠道。过去几天，VirusTotal 检测到数百个 OpenClaw 技能存在恶意行为。最初旨在扩展人工智能代理的生态系统，如今正迅速演变成新的供应链攻击面，攻击者利用伪装成实用自动化工具的程序，传播投放器、后门、信息窃取程序和远程访问工具。

1.OpenClaw（原名 Clawdbot / Moltbot）是什么？

除非你最近完全与世隔绝，否则你很可能听说过 OpenClaw 的爆红以及它那段小小的命名风波。最初它叫 Clawdbot，后来短暂地改名为 Moltbot，最终由于商标申请的限制，原名被禁用，才定名为 OpenClaw。

OpenClaw 的核心是一个自托管的 AI 代理，它运行在你的机器上，可以代表你执行实际操作：shell 命令、文件操作、网络请求等等。正因如此，它才如此强大；也正因如此，除非你主动进行沙箱隔离，否则其安全风险范围几乎涵盖你的整个系统。

2.技能（skills)：设计强大，默认危险

OpenClaw 技能本质上是扩展智能体功能的微型软件包。每个技能都围绕一个 SKILL.md 文件（包含一些元数据和指令）构建，并且可能包含脚本或其他资源。技能可以本地加载，但大多数用户会从 ClawHub（OpenClaw 扩展的公共市场）查找并安装它们。

这就是该生态系统如此强大的原因：无需将所有内容硬编码到代理程序中，只需添加技能，它就能立即使用新的工具、API 和工作流程。代理程序会按需读取技能文档并执行其指令。

问题在于，这些技能也是第三方代码，运行在拥有真实系统访问权限的环境中。而且，许多技能都附带用户容易信任的“设置”步骤：将命令粘贴到终端、下载并运行二进制文件、导出环境变量等等。从攻击者的角度来看，这简直就是完美的社会工程攻击层。

所以，没错，技能对于提高生产力来说是一种恩赐，但毫不奇怪，对于恶意软件编写者来说也是如此。机制相同，目的却截然不同。

3.VirusTotal Code Insight 中的 OpenClaw 技能支持

为了帮助检测这种新出现的滥用模式，我们在 VirusTotal Code Insight 中新增了对 OpenClaw 技能包的原生支持，包括以 ZIP 文件形式分发的技能。底层，我们使用 Gemini 3 Flash 对整个技能进行快速的安全分析，分析从 SKILL.md 文件开始，涵盖所有引用的脚本和资源。

目标并非理解技能声称的功能，而是从安全角度总结其实际行为：例如，它是否会下载并执行外部代码、访问敏感数据、执行网络操作，或者嵌入可能诱使代理程序做出不安全行为的指令。实际上，这为分析人员提供了简洁明了、安全优先的技能真实行为描述，从而更容易发现隐藏在“实用”功能背后的恶意模式。

4.我们在野外看到的

截至撰稿时，VirusTotal Code Insight 已经分析了超过 3,016 个 OpenClaw 技能，其中数百个技能显示出恶意特征。

并非所有案例都相同。一方面，我们看到许多技能被标记为危险，因为它们包含糟糕的安全实践或明显的漏洞：不安全的 API 使用、不安全的命令执行、硬编码密钥、权限过大或用户输入处理不当。这种情况在“快速编码”时代越来越普遍，代码往往快速生成，通常缺乏真正的安全模型，并直接发布到生产环境。

但更令人担忧的是第二类技能：那些明显带有恶意且蓄意为之的技能。这些技能伪装成合法工具，但其真正目的是执行诸如窃取敏感数据、通过后门进行远程控制或在主机系统上直接安装恶意软件等操作。

5.案例研究：hightower6eu，一家明目张胆的恶意软件发布商

我们观察到的最具代表性的案例之一是 ClawHub 用户“hightower6eu”，他非常活跃地发布看似合法的技能，但这些技能却一直被用于传播恶意软件。

截至撰稿时，VirusTotal Code Insight 已分析了与该用户关联的 314 项技能，且数量仍在增长，所有这些技能均被识别为恶意技能。这些技能涵盖了各种看似无害的用例（例如加密货币分析、财务追踪、社交媒体分析、自动更新程序等），但它们都遵循类似的模式：用户被指示从不受信任的来源下载并执行外部代码，作为“安装”过程的一部分。

为了更直观地说明这一点，下面的屏幕截图显示了 VirusTotal Code Insight 如何分析 hightower6eu 发布的一项技能，在本例中，这项技能看似无害，名为“雅虎财经”。

表面上看，这个文件很干净：没有任何杀毒引擎将其标记为恶意文件，而且压缩包本身几乎不包含任何实际代码。这正是传统检测方法失效的原因。

然而，VT Code Insight 会分析技能中描述的实际行为。在本例中，它发现该技能指示用户必须从不受信任的来源下载并执行外部代码，无论在 Windows 还是 macOS 系统上都是如此。从安全角度来看，这是一种典型的恶意软件传播模式：该技能充当社会工程学的包装，其唯一真正的目的是推动远程执行。换句话说，文件中的内容本身并非严格意义上的“恶意软件”。真正的恶意软件是其工作流程。而这正是 Code Insight 旨在发现的滥用模式。

如果你仔细阅读 SKILL.md 文件，就会发现它的实际行为显而易见。对于 Windows 用户，该技能会指示他们从外部 GitHub 帐户下载一个受密码“openclaw”保护的 ZIP 文件，解压缩该文件，然后运行其中的可执行文件：openclaw-Agent.exe。

提交至 VirusTotal 后，该可执行文件被多家安全厂商检测为恶意软件，其分类与打包木马一致。

当系统为 macOS 时，该技能不会直接提供二进制文件。相反，它会将用户引导至托管在 glot.io 上的 shell 脚本，该脚本使用 Base64 进行了混淆处理：

一旦 Base64 有效载荷被解码，其真实行为就显现出来：该脚本只是通过纯 HTTP 从远程服务器下载并执行另一个文件：

最后阶段的文件是 x5ki60w1ih838sp7，这是一个 Mach-O 可执行文件。提交到 VirusTotal 后，该二进制文件被 16 个安全引擎检测为恶意软件，其分类与窃取型木马和通用恶意软件家族一致：

当使用多个自动逆向工程工具和 Gemini 3 Pro 分析该文件时，结果一致：该二进制文件被识别为木马信息窃取程序，更具体地说是 Atomic Stealer (AMOS) 的一个变种。

这一系列恶意软件在 macOS 生态系统中广为人知。它旨在隐蔽地在后台运行，并系统性地收集敏感用户数据，包括系统和应用程序密码、浏览器 cookie 和存储的凭据，以及加密货币钱包和相关数据。

6.OpenClaw 用户（和平台）现在应该做什么

OpenClaw 本身提供了合理的安全构建模块，但只有当人们真正使用它们时，它们才能发挥作用：

• 将技能文件夹视为可信代码边界，并严格控制谁可以修改它们。
• 优先选择沙盒环境执行，并让代理远离敏感凭证和个人数据。
• 对于任何需要将命令粘贴到 shell 中或运行下载的二进制文件的技能，都要抱有极大的怀疑。
• 如果您运营平台或市场，请添加发布时扫描功能，并标记包含远程执行、混淆脚本或旨在绕过用户监管的指令等技能。

如果您要安装社区技能，请先进行扫描。对于个人人工智能代理而言，供应链并非细节，而是整个产品。