Part 5: Skills 系统
Skills 安全
Skill Security
ClawHavoc 供应链攻击是 OpenClaw 历史上最严重的安全事件之一。每个「养虾人」都应该了解。
ClawHavoc 供应链攻击
2026 年 1 月底到 2 月初,OpenClaw 社区遭遇了一场大规模供应链攻击,被安全研究机构 Koi Security 命名为「ClawHavoc」。
时间线
| 日期 | 事件 |
|---|---|
| 1月27日 | 首个恶意 Skill 出现在 ClawHub 上,伪装成专业工具 |
| 1月28-30日 | 攻击者快速上传大量恶意 Skill,利用 ClawHub 缺乏审查机制的漏洞 |
| 1月31日 | 攻击全面爆发,多名用户报告异常行为 |
| 2月1日 | Koi Security 正式命名该攻击为「ClawHavoc」 |
| 2月上旬 | 社区展开大规模审计和清理 |
攻击规模
| 指标 | 数据 |
|---|---|
| 当时 ClawHub 技能总数 | 约 2,857 个 |
| 初步确认恶意 Skills | 341 个(约 12%) |
| 后续扫描发现的恶意 Skills | 800+(约 20%) |
| 可追溯到同一协调行动的 | 335 个 |
| 受影响设备 | 135,000+ |
注意
ClawHub 当时约 20% 的 Skills 被确认为恶意。这意味着如果你随机安装 5 个 Skill,大概率至少有 1 个是恶意的。
攻击手法
攻击者的手法相当精密:
- 上传看似专业的 Skill,名称和描述都很正常(如「advanced-code-review」「smart-scheduler」)
- 诱导用户安装后,Skill 会建议安装一个「helper agent」来增强功能
- 实际植入的是 Atomic macOS Stealer(AMOS)信息窃取木马
- 更危险的是:攻击专门针对 OpenClaw 的持久记忆文件(
SOUL.md和MEMORY.md),篡改 Agent 的长期行为指令
篡改 SOUL.md 意味着你的 Agent 被「洗脑」了。它的核心行为准则被改写,可能在后续所有交互中执行恶意操作,而你完全不知情。
安全建议
1. 安装前审查源码
永远不要盲目安装 ClawHub 上的 Skill。去 GitHub 查看源码,确认 SKILL.md 中没有可疑的指令。特别注意任何要求额外安装「helper」或「agent」的内容。
2. 使用 SecureClaw 扫描
社区推出了开源安全工具 SecureClaw,可以扫描已安装的 Skills 检查恶意内容。虽然不能 100% 防护,但能拦住已知的攻击模式。
# 安装 SecureClaw
npm install -g secureclaw
# 扫描已安装的 skills
secureclaw scan ~/.openclaw/skills/3. 优先使用精选列表
参考 awesome-openclaw-skills 项目(31.4K Stars)的精选列表,而不是直接在 ClawHub 上随意搜索。精选列表已经过滤掉了大量垃圾和恶意 Skill。
4. 定期检查 SOUL.md 和 MEMORY.md
养成习惯,定期检查这两个文件有没有被异常修改。如果发现不认识的内容,立即回滚并排查所有已安装的 Skill。
关键认知
OpenClaw 的 Skill 本质上是受信任代码。一旦安装,它就拥有和你的 OpenClaw 实例相同的权限。没有沙箱隔离,没有权限分级。这和 npm 生态早期面临的问题一模一样,但后果可能更严重,因为 OpenClaw 可以访问你的邮件、日历、消息和文件系统。