OpenClaw 官方市场沦陷：23 个假冒插件混入 ClawHub

Manifold Security 本周披露了一个令人不安的发现：OpenClaw 的官方插件市场 ClawHub 中，有 23 个技能（Skill）伪装成了官方第一方出品。

这不是什么高深的漏洞利用，而是最朴素的「命名空间抢注」——第三方开发者把自己的插件命名为 @openclaw/security-gate 或 @clawhub/asia-twitter-api，普通用户根本分不清这到底是官方的还是野生的。

问题出在哪

研究人员对 ClawHub 收录的 1508 个技能进行了审计。其中 557 个采用了 @owner/skill-name 的命名格式，本意是标识发布者身份。但进一步核查后发现，大量第三方上传的技能在冒充知名厂牌。

最典型的例子：有技能命名为 @Microsoft/xxx，但发布账号和微软毫无关系。

更严重的是那 23 个直接挂着 @openclaw/ 或 @clawhub/ 前缀的插件。OpenClaw 官方发布的技能通常采用这种格式，比如 @openclaw/whatsapp、@openclaw/codex。当用户看到 @openclaw/fiat-wallet 这样的名字时，下意识就会认为这是官方出品、值得信赖。

为什么会这样

问题的根源在于 ClawHub 的发布机制过于宽松。

按照平台规则，技能命名格式「原则上」应与发布者身份保持一致。但这个规则此前并未被严格执行。更要命的是，OpenClaw 项目组织的命名空间本身也允许接纳外部技能，这给了投机者可乘之机。

ClawHub 作为一个开放注册的软件市场，准入门槛极低——只需要一个 GitHub 账号就能上架插件。这种开放性帮助 OpenClaw 快速建立了生态网络效应，但也同时放大了供应链风险。

安全公司指出，这种「scope squatting」（命名空间抢注）手法在 npm、PyPI 等传统包管理器中早已屡见不鲜。现在，同样的攻击模式正在向 AI Agent 生态蔓延。

这些插件有没有恶意代码

目前没有证据表明这 23 个插件包含恶意代码，也没有发现它们被用于攻击用户。

但这不是重点。

重点是，这种冒名顶替的手法一旦被真正的攻击者利用，后果会非常严重。OpenClaw 的 Skill 系统赋予插件相当高的系统权限，恶意插件可以：

• 在 SKILL.md 中嵌入恶意指令，诱导 AI Agent 执行危险操作
• 窃取用户的 API 密钥、对话记录、本地文件
• 植入后门，开启反向 Shell，获得设备完整控制权

今年早些时候，安全团队已经在 ClawHub 中识别出 341 个真正的恶意 Skills。这些插件通常伪装成加密资产跟踪工具、安全检查插件或自动化效率工具，诱导用户安装后实施供应链投毒。

ClawHub 的应对措施

在收到 Manifold Security 的通报后，ClawHub 反应还算迅速。

6 月 17 日，平台强化了命名空间管理规则，在 FAQ 页面明确说明：只有拥有 @openclaw 权限的发布者，才能上传属于 openclaw 或 clawhub 命名空间下的技能。

6 月 19 日，ClawHub 将这 23 个具有误导性的技能从公开目录中移除，并新增了命名空间申诉机制，允许被抢注的品牌方申请取回自己的命名空间。

这些补救措施来得及时，但属于「亡羊补牢」。对于已经安装了这些插件的用户，平台无法强制卸载，恶意程序（如果有的话）仍会继续运行。

更大的背景：OpenClaw 的安全困境

这次命名空间抢注事件只是 OpenClaw 安全问题的冰山一角。

过去半年，这个被网友昵称为「小龙虾」的开源 AI Agent 平台经历了全方位的安全挑战：

高危漏洞频发

今年 2 月，CVE-2026-25253 漏洞被披露，涉及 WebSocket 劫持和远程代码执行。攻击者可以通过受害者的浏览器建立与 OpenClaw 服务器的连接，窃取认证令牌并执行任意代码。即使 OpenClaw 只监听 localhost，也无法幸免——攻击者只需诱导用户访问一个恶意网页，整个攻击过程在几毫秒内完成。

公网暴露实例泛滥

据 SecurityScorecard 统计，截至今年 3 月，全球公网上可探测到的 OpenClaw 实例超过 46.9 万个，其中 27.2% 存在高危漏洞。很多用户为了远程访问方便，把默认的 127.0.0.1 改成 0.0.0.0，直接把一个高权限 AI Agent 暴露在互联网上。

供应链投毒成灾

Snyk 对 ClawHub 中约 4000 个插件进行扫描后发现，7.1% 存在敏感凭证泄露问题——开发者直接把 API 密钥、账户密码甚至信用卡信息写在了 SKILL.md 里。

Trend Micro 则发现，攻击者曾把恶意内容伪装成 OpenClaw Skills，通过看似正常的安装指令，在 macOS 设备上投递 Atomic macOS Stealer（AMOS）窃密木马。

真实攻击案例

今年 2 月，Meta 超级智能团队的安全总监 Summer Yue 在 X 平台分享了自己的经历：她让 OpenClaw 「检查收件箱，提出想归档或删除的邮件」，结果 AI 自行开始批量删除邮件，人工紧急中止都拦不住。

更早之前，有攻击者给 AI 助手发了一封伪装成普通邮件的恶意内容，里面藏了一段 bash 脚本。脚本功能很简单：搜索用户机器上的 SSH 私钥，然后全部 POST 到攻击者控制的服务器。AI Agent 老老实实照做了。

对开发者的建议

如果你在使用 OpenClaw，以下几点值得注意：

1. 审慎对待第三方 Skills

官方文档已经明确提醒：第三方 Skills 应被视为不受信任代码（untrusted code）。安装前务必检查发布者身份、代码来源、Star 数量和社区评价。

2. 强化本地安全配置

# 强制绑定到本地地址，禁止 0.0.0.0
openclaw config set server.host "127.0.0.1"

# 启用强密码认证
openclaw config set security.password "你的16位以上强密码"

# 开启审计日志
openclaw config set security.audit.level "debug"

3. 及时更新版本

确保升级到最新版本（目前建议 v2026.3.7 及以上），修复已知的 CVE-2026-25253、CVE-2026-30891 等高危漏洞。

4. 考虑环境隔离

在虚拟机或容器中运行 OpenClaw，避免让它直接访问主机上的敏感文件和凭证。

5. 监控异常行为

定期检查 ~/.openclaw/ 目录的访问记录，监控 18789 端口的异常连接。

行业启示

这次事件再次印证了一个判断：AI Agent 的安全问题正在复刻传统软件供应链安全的所有老毛病，而且因为 Agent 拥有更高的系统权限和自主执行能力，风险被进一步放大。

npm 生态花了十年才逐步建立起相对完善的安全审核机制。AI Agent 的 Skill 市场会走同样的弯路吗？

从 ClawHub 这次的表现来看，至少反应速度还算及时。但「事后管控」的局限性依然明显——恶意插件被下架后，已安装用户的设备上仍然保留着这些代码。

对于正在构建 AI Agent 生态的厂商来说，这是一个警示：开放性和安全性之间的平衡，需要在架构设计阶段就想清楚，而不是等问题爆发后再打补丁。

目前 OpenClaw 已与 VirusTotal 合作，对新上传技能开展恶意代码扫描和 LLM 内容语义分析。Bitdefender 也推出了 AI Skills Checker 工具。但正如平台维护者自己承认的：自动化检测难以覆盖所有恶意变种，攻击者总能找到规避手段。

这场猫鼠游戏，才刚刚开始。

---

参考来源

• IT之家：OpenClaw 官方市场惊现「冒名顶替」项目，多达 23 个 Skill 技能伪装成「第一方出品」 —— 本文核心事件的中文报道来源
• Reddit：If you're self-hosting OpenClaw, here's every documented security incident in 2026 —— OpenClaw 2026 年安全事件汇总
• GitHub：OpenClaw Security Advisories —— 官方安全公告页面