電子發(fā)燒友網(wǎng)報道（文/黃山明）近期，一款在全球開發(fā)者社區(qū)和科技圈現(xiàn)象級爆火的開源AI智能體（AIAgent）框架火出了圈，它被用戶親切地稱為“數(shù)字龍蝦”或“全能管家”，這就是OpenClaw。這并不是一款單純的聊天機(jī)器人，而是一個真正能夠幫助我們執(zhí)行具體任務(wù)的助手。

也因此，OpenClaw在GitHub上的星標(biāo)數(shù)在短短3個月內(nèi)從0飆升至25萬以上，超越了Linux內(nèi)核和React的歷史增速，成為GitHub史上增長最快的項(xiàng)目。但也正是由于OpenClaw的出現(xiàn)，催生了大量的“惡意仿冒項(xiàng)目”和“寄生攻擊”，這些惡意項(xiàng)目不僅難以識別，并且一旦中招，破壞力遠(yuǎn)超傳統(tǒng)病毒。這也讓AI正式進(jìn)入到“黑暗森林”時代。

OpenClaw爆火之后

OpenClaw作為一款開源的AI Agent，其作者為知名開發(fā)者PeterSteinberger，也是PSPDFKit的作者，曾用名Clawdbot、Moltbot。與其他的AIAgent不同的是，OpenClaw可以操作瀏覽器、讀寫文件、執(zhí)行系統(tǒng)命令、調(diào)用API，并通過WhatsApp、Telegram、飛書等聊天軟件接收指令和匯報結(jié)果。

這種能夠切實(shí)幫助人們進(jìn)行操作而非只是提供建議的能力，讓普通用戶第一次感受到AI真的能夠替自己干活。

更重要的是，在如今數(shù)據(jù)隱私日益敏感的今天，OpenClaw的完全開源與本地化部署能力可以讓用戶完全放心。因此代碼完全開放，也可以直接部署在個人電腦、NAS或私有服務(wù)器中，同時數(shù)據(jù)完全自主可控，不會上傳到第三方云端，與Claude、ChatGPT等“黑盒”服務(wù)形成鮮明對比。

當(dāng)然，最關(guān)鍵的一點(diǎn)是，這款A(yù)I直接接管了執(zhí)行權(quán)。例如需要修改代碼BUG，原來的方式是將代碼投喂給AI，讓AI進(jìn)行修改，然后再將代碼復(fù)制回來。如今只需要打開OpenClaw，對它說“修復(fù)這個BUG”，它就可以代替用戶直接在電腦上改好。

與此同時，OpenClaw是完全免費(fèi)開源的項(xiàng)目，配合本地運(yùn)行的低成本模型，提供了一種“去中心化”的替代方案，讓每個人都可以擁有自己的AI Agent。

也正是因?yàn)殚_源，全球的開發(fā)者為OpenClaw開發(fā)了成千上萬個插件，覆蓋了從“自動搶票”到“量化交易”等各種場景。并且在社交媒體上也充斥著各種OpenClaw自動操作電腦的短視頻，例如全自動寫論文、全自動炒股分析等，這種直觀的視覺沖擊極大地推動了傳播。

有意思的是，其制作者PeterSteinberger在今年2月份宣布加入OpenAI，但OpenClaw將會以基金會形式繼續(xù)作為開源項(xiàng)目而存在。

不過也正是因?yàn)殚_源，OpenClaw天然就存在一定的風(fēng)險，Microsoft安全博客直接把OpenClaw的這種帶動用戶操作的行為定義為：可以加載來自外部的代碼，用授予它的憑據(jù)去操作本地和云資源，本質(zhì)上就是“帶持久憑據(jù)的不可信代碼執(zhí)行”。

也就是說，OpenClaw可以擁有高權(quán)限，以及可動態(tài)加載外部的代碼，因此一旦被惡意利用，危害非常大。并且這種危害，已經(jīng)開始顯現(xiàn)。

AI應(yīng)用邁入“黑暗森林”時代

OpenClaw的爆火催生了官方維護(hù)的Skills（技能包）市場ClawHub，用戶可以在這里下載各種Skills來實(shí)現(xiàn)自己想要的功能，到2026年初，ClawHub已經(jīng)有上萬個Skill。

但到今年2月，安全團(tuán)隊KoiSecurity發(fā)現(xiàn)大量惡意Skill，將攻擊命名為ClawHavoc，也被譯為“利爪浩劫”。據(jù)相關(guān)統(tǒng)計，歷史ClawHub上至少出現(xiàn)過1184個惡意Skill，截至報告時，ClawHub平臺仍有3498個Skills，其中相當(dāng)一部分是“垃圾/重復(fù)包裝”，惡意比例顯著。

這些惡意的Skills會在SKILL.md或腳本中插入“虛假安裝步驟”，誘導(dǎo)用戶執(zhí)行curl/wget等命令，從攻擊者服務(wù)器下載惡意二進(jìn)制文件。如果在macOS上下載并運(yùn)行Atomic macOS Stealer （AMOS）木馬病毒，則會被竊取瀏覽器會話、SSH密鑰、云賬戶密碼、加密貨幣錢包等信息。

而針對Windows用戶，黑客則分發(fā)偽造的“OpenClaw_x64.exe”文件，在內(nèi)存中靜默運(yùn)行Vidar竊密程序以盜取賬號數(shù)據(jù)，并植入GhostSocks木馬將受害者電腦變成黑客的跳板節(jié)點(diǎn)。

科技媒體BleepingComputer報道，為了引導(dǎo)用戶下載到這些惡意程序，黑客們利用了微軟Bing的AI增強(qiáng)搜索功能中的BUG，將其搜索結(jié)果引導(dǎo)至托管在GitHub上的虛假OpenClaw安裝程序。

據(jù)AuthMind報道，近期還出現(xiàn)了偽造的“ClawdBot Agent”VS Code擴(kuò)展，實(shí)際是竊取憑證的惡意軟件。研究人員Jamieson O’Reilly發(fā)現(xiàn)大量OpenClaw實(shí)例暴露在互聯(lián)網(wǎng)，并泄露明文API Key、Bot Token、OAuth憑證和對話歷史，被攻擊者利用。

傳統(tǒng)的電腦病毒通常會嘗試注入奇怪的代碼、連接未知的IP、修改系統(tǒng)文件，容易被殺毒軟件特征庫攔截。但OpenClaw的惡意項(xiàng)目識別難度卻呈指數(shù)級上升，這是因?yàn)镺penClaw的核心設(shè)計特性本身就具有攻擊性，具備高系統(tǒng)權(quán)限、自主決策、持久化運(yùn)行等。

因此即便使用到了惡意的Skill，它所有的操作本質(zhì)上都是用戶授權(quán)去給AI做的。也就是當(dāng)惡意插件刪除你的文件時，在系統(tǒng)日志里看來，這就是“用戶通過OpenClaw執(zhí)行了刪除命令”。

并且惡意邏輯不再寫死在代碼里，而是通過自然語言動態(tài)生成，攻擊者可以使用另一個AI不斷變異惡意提示詞，使得每一次攻擊的代碼表現(xiàn)都不一樣。傳統(tǒng)的基于“特征碼”的殺毒軟件完全失效。惡意指令還可能隱藏在圖片、PDF甚至音頻文件中，只有當(dāng)OpenClaw的多模態(tài)模型解析這些文件時，隱藏的指令才會被激活。

加上OpenClaw主打“本地優(yōu)先”，流量不出內(nèi)網(wǎng)，傳統(tǒng)的網(wǎng)絡(luò)防火墻和云端威脅情報系統(tǒng)無法監(jiān)測到內(nèi)部的異常數(shù)據(jù)流轉(zhuǎn)。惡意行為發(fā)生在用戶的封閉的本地環(huán)境中，除非用戶實(shí)時監(jiān)控每一個系統(tǒng)調(diào)用，否則很難察覺。

因此如果使用OpenClaw，這里給出幾個建議。盡量不要在個人工作機(jī)或生產(chǎn)環(huán)境直接運(yùn)行，只在隔離的虛擬機(jī)或?qū)Ｓ梦锢頇C(jī)里運(yùn)行，使用最小權(quán)限賬戶。

同時嚴(yán)格限制Skills的安裝來源，如果需要安裝Skill，需要仔細(xì)閱讀SKILL.md和腳本內(nèi)容，警惕任何要求你執(zhí)行curl/wget、輸入密碼或關(guān)閉安全軟件的步驟。

絕不要給OpenClaw及其Skills高權(quán)限云賬號/生產(chǎn)密鑰，避免把AWS/GitHub/生產(chǎn)數(shù)據(jù)庫憑證暴露給OpenClaw或第三方Skill。確保綁定在127.0.0.1，不要監(jiān)聽公網(wǎng)；必要時在前端再加一層反向代理和認(rèn)證，達(dá)到網(wǎng)絡(luò)層嚴(yán)格隔離。

總結(jié)

OpenClaw本身是一個有創(chuàng)意的開源個人AI助手，但它的高權(quán)限與開放生態(tài)，在爆火之后迅速成為攻擊目標(biāo)，官方Skills市場、安裝包分發(fā)、搜索結(jié)果和VS Code擴(kuò)展等多個環(huán)節(jié)都出現(xiàn)了大量惡意項(xiàng)目。甚至打開了“自動化攻擊”的潘多拉魔盒。惡意項(xiàng)目不再是簡單的破壞代碼，而是利用AI的執(zhí)行力和社會工程學(xué)技巧，讓攻擊變得更具隱蔽性和破壞力。

這使得識別惡意AI項(xiàng)目從單純的“代碼掃描”問題，演變成了復(fù)雜的“意圖識別”和“行為審計”問題。對于普通用戶來說，現(xiàn)在的風(fēng)險不僅是下載到病毒，更是“被自己信任的AI助手背叛”。