The recent inadvertent exposure of the internal source code for one of the most prominent artificial intelligence instruments
The post The Claude Code Leak: How a 500,000-Line npm Blunder Became a Golden Ticket for Hackers appeared first on Penetration Testing Tools.
2026年,AI智能体被广泛应用,OpenClaw(俗称“龙虾”)凭借其自主决策与本地执行能力,成为企业与开发者的高频提效工具。然而,近期多家权威安全机构接连发布预警:OpenClaw正面临从供应链投毒到远程控制的多维安全威胁。
当内部员工私自部署此类“影子AI”资产,加之部分恶意Skills(插件)存在越权窃取核心数据的行为,传统边界安全防线正面临失效风险。针对这一现状,绿盟科技结合近期实战攻防与样本研判,基于深度威胁情报体系,输出了OpenClawAI供应链情报、OpenClaw失陷情报、OpenClaw钓鱼情报三大核心能力矩阵,为企业应对新型AI威胁提供“知其源、溯其踪、断其链”的实战支撑。
风险一:生态审核缺失下的“AI供应链投毒”
OpenClaw的扩展性高度依赖于其开放的Skills生态(如ClawHub)。监测发现,由于第三方平台缺乏严格的代码安全审核机制,攻击者可轻易植入后门插件,导致AI供应链投毒事件频发。
早在今年二月,绿盟天元实验室便发布了针对ClawHub平台恶意Skills风险的预警报告。持续跟踪表明,尽管OpenClaw官方已宣布开展安全治理,但截至目前,仍有大量高危插件存活,缺乏鉴别能力的非技术侧员工极易在无意间引入风险。
【应对一:OpenClawAI供应链情报——知其源】
绿盟科技依托全球样本监测网络,对主流市场的Skills持续进行动态清洗与深度行为分析。目前,绿盟情报已实现高危Skills黑名单(涵盖密钥窃取、远控后门等类别)的实时输出,并为企业梳理了经过安全验证的“可信Skills库”。企业可借此在插件安装侧建立风险评估机制,从源头切断AI供应链的投毒路径。
风险二: AI执行能力被滥用后的“失陷问题”
一旦恶意Skills被触发或相关底层漏洞被利用,OpenClaw实例即宣告失陷。攻击者可利用AI工具的高权限,静默执行系统命令、窃取浏览器凭证,甚至将其作为跳板发起内网横向渗透。
【应对二:OpenClaw失陷情报——溯其踪】
针对此类攻击,绿盟威胁情报已提取并覆盖了高质量的IOC(威胁指示器)。在EDR(终端)层面,精准定位恶意Skills文件的落盘Hash;在NDR(网络)层面,直击失陷主机主动外联黑产C2的异常流量特征。
此外,研究团队创新性地将“AI异常行为指纹”纳入情报规则库。绿盟情报可通过云端快速同步至本地设备,当内网出现违规外联或异常进程调用时,可实现快速告警并溯源失陷主机,消除“影子AI”的隐蔽潜伏风险。
风险三:诱导下载与钓鱼攻击
近期监测数据显示,黑产团伙正利用OpenClaw的热度,大肆构建钓鱼网络。攻击者针对普通业务人员,利用SEO精准投放高仿钓鱼网站,诱骗员工下载捆绑了木马程序的伪造版客户端,以此实施水坑攻击。
【应对三:OpenClaw钓鱼情报——断其链】
绿盟科技持续监控全网涉OpenClaw的数字资产与钓鱼源头,第一时间对伪造站点进行测绘并提取威胁情报。通过联动企业边界防护设备,在网关侧直接识别并封堵此类仿冒网站,斩断钓鱼攻击链条。
结语:构建AI应用的安全护栏
OpenClaw的普及是技术发展的必然,但其模糊的信任边界机制极易被利用。在强调“发展与安全并重”的当下,面对“龙虾”热潮,企业在享受提效的同时,需重点关注其伴生的安全盲区。
绿盟科技输出的三大专项情报,旨在为企业应对AI智能体威胁提供全生命周期的防御数据支撑。通过精准鉴别风险、提取高保真IOC与源头风险管控,为企业的AI应用构建安全护栏。
防御维度
风险场景
情报能力
知其源
插件引入风险
OpenClawAI供应链情报
溯其踪
失陷与异常行为
OpenClaw失陷情报
断其链
钓鱼站点访问
OpenClaw钓鱼情报
立即接入绿盟威胁情报,防范网络资产沦为恶意AI的法外之地。
Fortinet has issued a stark admonition regarding a critical vulnerability discovered within its FortiClient EMS (Endpoint Management Server)
The post Zero-Day Alert: Critical FortiClient EMS Flaw Under Active Exploitation—Patch Now! appeared first on Penetration Testing Tools.
一场轰轰烈烈的“养虾运动”,从全网追捧到紧急卸载,只持续了短短一周。二手平台已经出现另一种服务:远程卸载OpenClaw。价格从499元安装到299元卸载[1],一条“装虾—教虾—卸虾”的产业链迅速形成。第一批“养虾人”的翻车经历[2]也不断出现:
·有人授权OpenClaw访问邮箱,结果邮件被批量删除;
·有人让AI清理磁盘,结果整个目录被误删;
·还有用户因为API Key泄露,一夜之间损失数万美元;
3月10日晚,国家互联网应急中心紧急发布风险提示[3],提醒公众谨慎部署类似AI智能体系统。随后,工信部NVDB(国家信息安全漏洞库)也将OpenClaw列入重点关注名单,明确指出其可能引发网络攻击、数据泄露等重大风险[4]。
一只“龙虾”的命运,在一周之内完成了从全网追捧到紧急卸载的反转。在这场狂热背后,一个更深层的问题浮出水面:当AI从“思考”走向“动手”,我们该如何确保它不会失控?
AI智能体的三大安全风险与应对
与传统AI应用不同,AI智能体具有三个关键能力:访问真实系统资源、调用工具执行任务、自主规划行动步骤等。正是这些能力,让AI从“对话者”进化为“行动者”。但这也意味着,一旦出现安全漏洞,影响将不再局限于模型输出,而可能直接波及真实的系统环境与业务流程。
一只“龙虾”的冰火一周,实际上提前暴露了OpenClaw的三大安全风险,与风险对应的解决方案如下图:
图1 OpenClaw的三大安全风险和应对方案
风险一:影子“龙虾”——隐匿的OpenClaw
OpenClaw的爆火不仅激发了个人用户的尝鲜热潮,也在企业网络中悄然埋下了一类全新的安全隐患——影子AI资产(Shadow AI Assets)。为提升效率或便捷体验,许多员工在未经安全审批的情况下,自行在个人电脑、研发服务器甚至企业内网中部署OpenClaw等AI智能体系统。
从安全视角来看,这类影子AI资产普遍具备以下三大典型特征:
·难以发现:安全团队可能对内部署的AI智能体一无所知,这些系统可能散布于研发服务器、测试环境、云主机甚至员工个人设备上,形成管理盲区。传统资产发现手段难以识别AI智能体的特有指纹,“看不见”成为首要难题。
·漏洞复杂:AI智能体系统通常由模型框架、插件模块及ACP、MCP、API等多种接口组成,各组件间依赖关系复杂,组件供应链投毒、配置错误、权限绕过等风险交织叠加,使得漏洞面显著扩大。
·权限过高:为完成任务,OpenClaw等智能体常被授予访问系统文件、浏览器环境及API接口的高权限。一旦节点被攻击者控制,即可直接窃取敏感数据、执行高权限操作,甚至以此为跳板横向移动,深入渗透企业内网。
这些影子AI资产往往直接接入核心资源——本地文件系统、企业邮箱、API密钥、内网服务接口等。与传统影子IT相比,影子AI资产的权限更高、组件更复杂、隐匿性更强,已然成为企业网络安全的“暗礁”,亟待引起重视。
应对一:雷达“扫虾”——AI资产测绘与风险识别
针对影子AI资产带来的治理困境,绿盟提供AI资产与风险识别智能体,包括能力如下:
1. AI资产自动发现:让隐匿的AI系统无处遁形
通过网络空间测绘与AI资产指纹识别技术,自动发现网络中的能够自动发现隐藏或未纳入管理范围的AI资产。覆盖OpenClaw等智能体平台以及各类AI应用服务节点、模型服务接口和AI运行环境等多种形态的AI资产,形成动态更新的资产清单,彻底消除盲区。AI资产与风险识别智能体发现:截止2026年3月12日上午11点,全球已有12w个开放的OpenClaw在线资产,其中中国含有47,233个资产,占全球国家分布排行第一。
图2 OpenClaw全球资产测绘情况
2. AI资产组件漏洞深度识别:看见AI背后的真实攻击面
通过对智能体关键组件进行漏洞关联分析,可以识别模型框架漏洞、插件风险和工具调用安全缺陷,并提供详细的漏洞说明与修复建议。例如 CVE-2026-27002、CVE-2026-28391、CVE-2026-28474 等漏洞,一旦被利用,攻击者不仅可以控制AI智能体本身,还可能继承其全部系统权限,从而访问AI能够调用的所有资源,包括:宿主机文件系统、容器集群、私有云存储平台(Nextcloud)。换句话说,一旦AI被攻陷,攻击者控制的就不只是一个模型,而是 AI背后的整个系统生态。
图3 OpenClaw漏洞情况
图4 OpenClaw安全治理安全建议
3. 风险画像构建与优先级排序:让高风险AI资产一目了然
结合AI资产测绘与开源供应链分析,识别组件供应链暴露程度及关联漏洞信息等多维数据,为每个AI资产构建风险画像,定位高风险节点(如高危组件、漏洞利用链、外网暴露等),开展风险优先级排序,同时研判潜在的供应链风险。
图5 Openclaw供应链组织成分图谱分析
通过这些能力,企业能够将游离于管控之外的影子AI资产纳入统一安全管理体系,为AI技术的安全落地筑牢防线。
风险二:有毒“龙虾”——被投毒的Skill生态
OpenClaw的能力很大程度上来自其Skills插件生态。通过安装不同Skills,用户可以让AI智能体执行邮件管理、文件处理、自动脚本执行、代码开发辅助等自动化任务。这种插件化架构极大扩展了智能体的能力边界,但也打开了一扇危险的“后门”——一个全新的、隐蔽的攻击面正在形成。
根据安全研究,Skills相关的安全事件可归纳为以下主要类别:
·恶意插件:披着羊皮的“特洛伊木马”: 攻击者将恶意代码伪装成“邮件助手”等正常工具,诱导用户安装。一旦启用,智能体便在后台窃取数据、控制设备等。研究显示,ClawHub近4000个Skills中,36.8%存在安全问题,13.4%含严重漏洞,涉及恶意分发、数据泄露等[5]。
·提示词注入攻击:语言指令成为武器:除了恶意代码直接执行,攻击者还通过精心构造的自然语言指令,诱导AI智能体执行非预期操作。这类攻击利用AI对自然语言的理解缺陷,绕过安全限制。通过诱导性对话,让AI主动交出用户的社保号、银行卡信息[6];OpenAI Codex一名成员的OpenClaw被恶意指令欺骗,转走了价值约45万美元的数字货币[7];
·供应链安全与系统性风险:绿盟科技在《2026网络安全趋势报告》[8]中指出,智能体的自主决策特性放大了供应链风险。当用户从不可信来源安装Skill时,无异于主动把家门钥匙交给陌生人。此类风险涉及身份伪造、决策失控、数据泄露、模型漏洞等多个层面。
可见,Skills生态在赋予AI强大能力的同时,也带来了前所未有的安全挑战。用户需谨慎选择Skills来源,并持续关注安全动态。
应对二:安检“验虾”——Skills全方位测评
针对智能体Skills插件生态日益严峻的安全危机,绿盟构建了Skills安全测评智能体,可以对插件进行系统化安全检测。该测评智能体从三个核心维度展开,形成覆盖代码、行为、权限的全方位检测:
1. 静态代码分析: 从源头识破恶意逻辑
通过自动化扫描Skills源代码,识别可疑函数调用、外联通信逻辑以及数据外传行为。静态分析引擎内置了针对AI插件特有的恶意模式库(如权限边界突破与能力滥用、敏感数据暴露与外流风险、执行面失控风险等),可精准发现隐藏在正常功能代码中的“特洛伊木马”。该引擎对已知恶意模式的检出率可达90%以上。如下图所示,在测试的恶意Skill中识别到了一些恶意模式库中的风险,包含执行面失控、敏感数据暴露与外流风险等。
图6 Skill文件内容静态分析
2. 动态行为检测:在隔离环境中“抓现行”
将插件放入沙箱隔离环境运行,实时监测其文件访问、网络通信、系统权限调用等行为。无论恶意代码如何混淆,只要它在运行时试图读取私钥文件、连接未知C2服务器、或执行异常外传,动态检测引擎都会记录并告警。结合Skill行为沙箱动态分析与静态审计交叉验证,这种“动静态结合”的方式,有效弥补了单一静态分析的盲区。
图7 Skill静态行为交叉验证
3. 权限最小化控制:让插件“各司其职”
对插件能力进行分级管理和细粒度权限控制。通过定义明确的权限边界(如仅允许访问特定目录、禁止外联、限制API调用范围),即使插件存在未知漏洞或被植入恶意代码,其破坏能力也被限制在最小范围内。平台支持基于角色的权限分配,确保每个技能只能访问完成任务所必需的最小资源集。
图8 Skill权限分析
Skills安全测评智能体正是将这种“开门揖盗”的风险降至最低——通过动静态结合的深度检测、权限最小化控制、以及持续的安全自检能力,帮助企业和个人用户在体验“龙虾”浪潮中,守住安全的底线。
风险三:贪婪“龙虾”——恶意消耗Token算力
OpenClaw还暴露出另一个被很多人忽视的问题:Token资源可能被恶意劫持与滥用。与传统对话式AI不同,AI智能体在执行复杂任务时,需要进行大量多轮推理、工具调用、自动代码生成和长上下文分析。这种能力在为用户带来便利的同时,也打开了一扇新的攻击窗口——攻击者可以通过精心构造的提示词,诱导AI执行高消耗任务,从而形成AI资源耗尽攻击(AI DoS)。学术界已将这类攻击命名为“Deadlock Attack”或“ThinkTrap”,具体风险有以下三类:
·提示词诱导下的算力耗尽: 研究显示,攻击者仅需构造约20个Token的输入,即可诱导模型生成4096+ Token的超长输出,形成“非对称消耗”[9]。这种低速率攻击(如每分钟10次请求)可将服务吞吐量降至原容量的1%,响应延迟增加100倍,甚至引发服务崩溃[10]——极低成本即可瘫痪企业AI服务。
·AI“自主钻空”引发的资源劫持:令人警惕的是,AI可能主动突破安全边界。
·API密钥泄露下的算力盗用:内部凭证泄露同样致命。深圳一程序员因API密钥被盗,3天损失1.2万元Token费用[13]。市场数据显示,OpenClaw占openrouter平台总消耗的95%以上(2.05T/周)[14],而多智能体系统消耗是普通对话的4-15倍——如此庞大的算力池,已成攻击者的“金矿”。
这些案例表明,Token失控已从成本问题演变为安全问题。一旦缺乏监测与限制,AI算力随时可能被劫持,而受害者往往在收到账单或服务崩溃时方才察觉。
应对三:阀门“控虾”——Token监测与资源控制
面对Token算力攻击带来的资源失控风险,绿盟构建了 Token行为监测与资源控制智能体,从“监测—识别—控制”三个维度形成闭环防护,帮助企业将AI算力消耗纳入可管可控的轨道。
1. Token消耗监测:让每一分钱都有迹可循
智能体实时统计模型的调用频率与Token使用量。无论是正常业务增长,还是突发异常暴涨,运营团队都能第一时间感知。这相当于为AI系统安装了“智能水表”——用水量清晰可见,漏水才能及时止损。
图9 LLM Token消耗实时监控
2. 异常行为识别:捕捉失控前的“蛛丝马迹”
智能体持续分析Token消耗模式,自动识别异常行为特征:Token消耗在短时间内陡增,远超正常波动范围;模型调用出现高频循环,疑似陷入死循环或遭受攻击;任务执行时长显著超出历史基线等。一旦发现上述模式,系统立即触发告警,并提供详细的调用链路回溯,帮助安全团队快速定位问题源头——是被恶意提示词注入,还是智能体自身逻辑出现偏差。
图10 Agent资产管理与行为监控
3. 资源限额控制:给AI算力套上“缰绳”
通过精细化的资源管控策略,平台从源头遏制算力滥用:
·Token预算:为不同任务、不同用户设定Token消耗上限,超限自动熔断;
·调用频率限制:限制单个会话或API Key的单位时间请求次数,防止高频滥用;
·任务时长控制:设定任务执行超时阈值,避免智能体陷入无限循环;
这些控制策略既可全局生效,也可按业务场景灵活配置,确保AI系统在高效运转的同时,不会因资源失控而沦为攻击者的“算力肉鸡”或企业的“账单炸弹”。
图11 周期性Token消耗统计
通过Token行为监测与资源控制,绿盟希望帮助企业从“被动承受Token账单”转向“主动掌控AI算力”,让每一次模型调用都清晰可见、可控可管。
结语:OpenClaw故事正是AI智能体时代的一个缩影
当AI从“对话”走向“行动”,开始真正操作系统、调用工具、执行任务时,安全的边界也随之扩展为智能体系统安全。面对这一变革,绿盟科技正积极推动AI智能体安全评估与防护体系建设,并将于近期发布《面向智能体时代的大模型安全技术白皮书》,为行业提供系统性参考与前瞻视角,敬请期待。
关于绿盟“清风卫”
AI安全一体机(“清风卫”),是软硬一体的“全能卫士”,集成了内容安全过滤、敏感数据防泄漏、精细化算力调度及应用层攻击防护等核心能力。通过自研“风云卫”混合模型和三级资源管控机制,有效防御提示词注入、模型越狱等高级攻击,同时保障资源高效利用,防止模型滥用。
绿盟“清风卫”AI安全产品体系具备“平台化集成、场景化适配、自动化运营”三大特点,可灵活对接各类智能体开发平台与既有安全基础设施,为客户提供从开发态到运行态的一体化“监管控”能力。
OpenClaw故事正是AI智能体时代的一个缩影。当AI从“对话”走向“行动”,开始真正操作系统、调用工具、执行任务时,安全的边界也随之扩展为智能体系统安全。面对这一变革,绿盟科技正积极推动AI智能体安全评估与防护体系建设,并将于近期发布《面向智能体时代的大模型安全技术白皮书》,为行业提供系统性参考与前瞻视角,敬请期待。
参考文献
[1] “装虾299、卸载199”,“养龙虾”热潮迎来冷静期, https://news.qq.com/rain/a/20260311A043TJ00?suid=&media_id=
[2] “AI打工人”OpenClaw存在失控风险,安全问题引监管紧急提示, https://www.sohu.com/a/995076409_393779?scm=10001.325_13-325_13.0.0-0-0-0-0.5_1334&spm=smpc.channel_248.block3_308_NDdFbm_1_fd.1.1773206897097caBeGIT_324
[3] 国家互联网应急中心发布关于OpenClaw安全应用的风险提示, https://www.news.cn/tech/20260310/d5e1d772bed046239ea3774903c08970/c.html
[4] 重要提醒!工信部提示OpenClaw安全隐患, https://www.peopleapp.com/column/30051585475-500007383083
[5] Snyk Finds Prompt Injection in 36%, 1467 Malicious Payloads in a ToxicSkills Study of Agent Skills Supply Chain Compromise, https://snyk.io/de/blog/toxicskills-malicious-ai-agent-skills-clawhub/
[6] 你养的“龙虾”,已在失控边缘,https://www.36kr.com/p/3718104716326273
[7] “养龙虾”八面漏风,人类被坑惨了,https://www.thepaper.cn/newsDetail_forward_32749599
[8] 绿盟科技,2026网络安全趋势报告,https://book.yunzhan365.com/tkgd/evsw/mobile/index.html
[9] LLM Infinite Thinking DoS, https://www.promptfoo.dev/lm-security-db/vuln/llm-infinite-thinking-dos-ab428aed
[10] One Token Embedding Is Enough to Deadlock Your Large Reasoning Model,https://neurips.cc/virtual/2025/loc/san-diego/poster/116766
[11] Anthropic Upgrades Claude AI Web Search Tools With 11% Accuracy Boost, https://blockchain.news/news/anthropic-claude-web-search-dynamic-filtering-upgrade#google_vignette
[12] Wang W, Xu X X, An W, et al. Let It Flow: Agentic Crafting on Rock and Roll, Building the ROME Model within an Open Agentic Learning Ecosystem[J]. arXiv preprint arXiv:2512.24873, 2025.
[13] 养龙虾,别被偷了家,https://item.btime.com/4bd4ab33bf764be3bd3980d6ad9
[14] 疯狂的OpenClaw:Token放量、资本热捧,大厂卡位战已打响!风险不容忽视,https://finance.sina.com.cn/jjxw/2026-03-10/doc-inhqpnum6129952.shtml