2026 年 1 月,資安研究人員在 ClawHub(OpenClaw 官方技能模組市集)上發現了 341 個惡意技能模組。這項被稱為 ClawHavoc 的攻擊活動,散布了 Atomic Stealer 惡意程式,會竊取 API 金鑰、瀏覽器憑證和加密貨幣錢包。
發生了什麼事
攻擊者上傳了看起來很正常的技能模組到 ClawHub——名稱像是 smart-email-assistant、calendar-sync-pro 和 file-manager-plus。這些模組功能如同宣傳所述,但包含了隱藏的程式碼會:
- 提取環境變數(API 金鑰、Token)
- 讀取瀏覽器憑證儲存區
- 將資料傳送到攻擊者控制的伺服器
- 安裝持久性後門
這些惡意技能模組在被偵測到之前已累積了數千次安裝。
攻擊手法
名稱仿冒(Typosquatting)
許多惡意技能模組使用了與熱門模組相似的名稱。openclaw-gmail 對比正版的 openclaw-google-mail。匆忙安裝的使用者不會注意到差異。
延遲執行
惡意程式不會立即啟動。它會等待 24-48 小時後才開始竊取資料,使得安裝行為和被入侵之間更難被關聯起來。
提供真實功能
每個惡意技能模組都確實提供了宣傳的功能。使用者沒有理由起疑,因為模組確實能正常運作。
你受影響了嗎?
檢查你已安裝的技能模組
openclaw plugins list
與已公布的惡意技能模組清單交叉比對。主要判斷指標:
- 來自未驗證發布者的技能模組
- 使用通用名稱且與既有熱門模組重複的技能模組
- 在 2025 年 11 月至 2026 年 1 月之間安裝的技能模組
檢查是否已被入侵
注意以下跡象:
- API 使用量異常飆升
- 雲端帳號出現不明登入紀錄
- 出現你沒建立的 SSH 金鑰
- OpenClaw 實例出現非預期的對外網路連線
如果受影響,請立即採取以下步驟
- 輪換所有 API 金鑰 ——所有 OpenClaw 實例可存取的金鑰
- 移除可疑技能模組 ——刪除任何未經驗證的技能模組
- 檢查瀏覽器憑證 ——更改所有已儲存憑證的密碼
- 稽核你的伺服器 ——尋找未經授權的程序和 SSH 金鑰
- 更新 OpenClaw ——最新版本已包含技能模組驗證功能
託管服務如何保護你
這正是自架變得真正危險的地方。當你在自己的伺服器上安裝技能模組時,惡意程式碼可以存取該機器上的所有東西。
ClawTank 從設計上就降低了這個風險:
- 容器隔離 ——每個使用者都在沙箱化的 Docker 容器中運行。被入侵的技能模組無法存取主機系統或其他使用者
- 精選技能模組 ——僅預先配置經過驗證的技能模組
- 無 Root 權限 ——技能模組無法安裝系統層級的後門
- 自動更新 ——安全修補程式會自動套用,無需使用者介入
- 網路監控 ——可疑的對外連線會被標記
學到的教訓
ClawHavoc 事件凸顯了開放市集的一個根本挑戰:信任。npm、PyPI,現在還有 ClawHub,都曾面臨供應鏈攻擊。
對大多數使用者來說,最安全的做法是使用託管服務,由營運方控制哪些技能模組可用,並監控潛在威脅。
保持安全
在 ClawTank 上部署,享受沙箱化的託管 OpenClaw 服務。你的 AI 助理在隔離的容器中運行,搭配精選的技能模組——沒有供應鏈風險。