電子發(fā)燒友網(wǎng)報道（文/黃山明）近期，一款在全球開發(fā)者社區(qū)和科技圈現(xiàn)象級爆火的開源AI智能體（AIAgent）框架火出了圈，它被用戶親切地稱為“數(shù)字龍蝦”或“全能管家”，這就是OpenClaw。這并不是一款單純的聊天機器人，而是一個真正能夠幫助我們執(zhí)行具體任務的助手。

也因此，OpenClaw在GitHub上的星標數(shù)在短短3個月內(nèi)從0飆升至25萬以上，超越了Linux內(nèi)核和React的歷史增速，成為GitHub史上增長最快的項目。但也正是由于OpenClaw的出現(xiàn)，催生了大量的“惡意仿冒項目”和“寄生攻擊”，這些惡意項目不僅難以識別，并且一旦中招，破壞力遠超傳統(tǒng)病毒。這也讓AI正式進入到“黑暗森林”時代。

OpenClaw爆火之后

OpenClaw作為一款開源的AI Agent，其作者為知名開發(fā)者PeterSteinberger，也是PSPDFKit的作者，曾用名Clawdbot、Moltbot。與其他的AIAgent不同的是，OpenClaw可以操作瀏覽器、讀寫文件、執(zhí)行系統(tǒng)命令、調(diào)用API，并通過WhatsApp、Telegram、飛書等聊天軟件接收指令和匯報結(jié)果。

這種能夠切實幫助人們進行操作而非只是提供建議的能力，讓普通用戶第一次感受到AI真的能夠替自己干活。

更重要的是，在如今數(shù)據(jù)隱私日益敏感的今天，OpenClaw的完全開源與本地化部署能力可以讓用戶完全放心。因此代碼完全開放，也可以直接部署在個人電腦、NAS或私有服務器中，同時數(shù)據(jù)完全自主可控，不會上傳到第三方云端，與Claude、ChatGPT等“黑盒”服務形成鮮明對比。

當然，最關鍵的一點是，這款AI直接接管了執(zhí)行權。例如需要修改代碼BUG，原來的方式是將代碼投喂給AI，讓AI進行修改，然后再將代碼復制回來。如今只需要打開OpenClaw，對它說“修復這個BUG”，它就可以代替用戶直接在電腦上改好。

與此同時，OpenClaw是完全免費開源的項目，配合本地運行的低成本模型，提供了一種“去中心化”的替代方案，讓每個人都可以擁有自己的AI Agent。

也正是因為開源，全球的開發(fā)者為OpenClaw開發(fā)了成千上萬個插件，覆蓋了從“自動搶票”到“量化交易”等各種場景。并且在社交媒體上也充斥著各種OpenClaw自動操作電腦的短視頻，例如全自動寫論文、全自動炒股分析等，這種直觀的視覺沖擊極大地推動了傳播。

有意思的是，其制作者PeterSteinberger在今年2月份宣布加入OpenAI，但OpenClaw將會以基金會形式繼續(xù)作為開源項目而存在。

不過也正是因為開源，OpenClaw天然就存在一定的風險，Microsoft安全博客直接把OpenClaw的這種帶動用戶操作的行為定義為：可以加載來自外部的代碼，用授予它的憑據(jù)去操作本地和云資源，本質(zhì)上就是“帶持久憑據(jù)的不可信代碼執(zhí)行”。

也就是說，OpenClaw可以擁有高權限，以及可動態(tài)加載外部的代碼，因此一旦被惡意利用，危害非常大。并且這種危害，已經(jīng)開始顯現(xiàn)。

AI應用邁入“黑暗森林”時代

OpenClaw的爆火催生了官方維護的Skills（技能包）市場ClawHub，用戶可以在這里下載各種Skills來實現(xiàn)自己想要的功能，到2026年初，ClawHub已經(jīng)有上萬個Skill。

但到今年2月，安全團隊KoiSecurity發(fā)現(xiàn)大量惡意Skill，將攻擊命名為ClawHavoc，也被譯為“利爪浩劫”。據(jù)相關統(tǒng)計，歷史ClawHub上至少出現(xiàn)過1184個惡意Skill，截至報告時，ClawHub平臺仍有3498個Skills，其中相當一部分是“垃圾/重復包裝”，惡意比例顯著。

這些惡意的Skills會在SKILL.md或腳本中插入“虛假安裝步驟”，誘導用戶執(zhí)行curl/wget等命令，從攻擊者服務器下載惡意二進制文件。如果在macOS上下載并運行Atomic macOS Stealer （AMOS）木馬病毒，則會被竊取瀏覽器會話、SSH密鑰、云賬戶密碼、加密貨幣錢包等信息。

而針對Windows用戶，黑客則分發(fā)偽造的“OpenClaw_x64.exe”文件，在內(nèi)存中靜默運行Vidar竊密程序以盜取賬號數(shù)據(jù)，并植入GhostSocks木馬將受害者電腦變成黑客的跳板節(jié)點。

科技媒體BleepingComputer報道，為了引導用戶下載到這些惡意程序，黑客們利用了微軟Bing的AI增強搜索功能中的BUG，將其搜索結(jié)果引導至托管在GitHub上的虛假OpenClaw安裝程序。

據(jù)AuthMind報道，近期還出現(xiàn)了偽造的“ClawdBot Agent”VS Code擴展，實際是竊取憑證的惡意軟件。研究人員Jamieson O’Reilly發(fā)現(xiàn)大量OpenClaw實例暴露在互聯(lián)網(wǎng)，并泄露明文API Key、Bot Token、OAuth憑證和對話歷史，被攻擊者利用。

傳統(tǒng)的電腦病毒通常會嘗試注入奇怪的代碼、連接未知的IP、修改系統(tǒng)文件，容易被殺毒軟件特征庫攔截。但OpenClaw的惡意項目識別難度卻呈指數(shù)級上升，這是因為OpenClaw的核心設計特性本身就具有攻擊性，具備高系統(tǒng)權限、自主決策、持久化運行等。

因此即便使用到了惡意的Skill，它所有的操作本質(zhì)上都是用戶授權去給AI做的。也就是當惡意插件刪除你的文件時，在系統(tǒng)日志里看來，這就是“用戶通過OpenClaw執(zhí)行了刪除命令”。

并且惡意邏輯不再寫死在代碼里，而是通過自然語言動態(tài)生成，攻擊者可以使用另一個AI不斷變異惡意提示詞，使得每一次攻擊的代碼表現(xiàn)都不一樣。傳統(tǒng)的基于“特征碼”的殺毒軟件完全失效。惡意指令還可能隱藏在圖片、PDF甚至音頻文件中，只有當OpenClaw的多模態(tài)模型解析這些文件時，隱藏的指令才會被激活。

加上OpenClaw主打“本地優(yōu)先”，流量不出內(nèi)網(wǎng)，傳統(tǒng)的網(wǎng)絡防火墻和云端威脅情報系統(tǒng)無法監(jiān)測到內(nèi)部的異常數(shù)據(jù)流轉(zhuǎn)。惡意行為發(fā)生在用戶的封閉的本地環(huán)境中，除非用戶實時監(jiān)控每一個系統(tǒng)調(diào)用，否則很難察覺。

因此如果使用OpenClaw，這里給出幾個建議。盡量不要在個人工作機或生產(chǎn)環(huán)境直接運行，只在隔離的虛擬機或?qū)Ｓ梦锢頇C里運行，使用最小權限賬戶。

同時嚴格限制Skills的安裝來源，如果需要安裝Skill，需要仔細閱讀SKILL.md和腳本內(nèi)容，警惕任何要求你執(zhí)行curl/wget、輸入密碼或關閉安全軟件的步驟。

絕不要給OpenClaw及其Skills高權限云賬號/生產(chǎn)密鑰，避免把AWS/GitHub/生產(chǎn)數(shù)據(jù)庫憑證暴露給OpenClaw或第三方Skill。確保綁定在127.0.0.1，不要監(jiān)聽公網(wǎng)；必要時在前端再加一層反向代理和認證，達到網(wǎng)絡層嚴格隔離。

總結(jié)

OpenClaw本身是一個有創(chuàng)意的開源個人AI助手，但它的高權限與開放生態(tài)，在爆火之后迅速成為攻擊目標，官方Skills市場、安裝包分發(fā)、搜索結(jié)果和VS Code擴展等多個環(huán)節(jié)都出現(xiàn)了大量惡意項目。甚至打開了“自動化攻擊”的潘多拉魔盒。惡意項目不再是簡單的破壞代碼，而是利用AI的執(zhí)行力和社會工程學技巧，讓攻擊變得更具隱蔽性和破壞力。

這使得識別惡意AI項目從單純的“代碼掃描”問題，演變成了復雜的“意圖識別”和“行為審計”問題。對于普通用戶來說，現(xiàn)在的風險不僅是下載到病毒，更是“被自己信任的AI助手背叛”。