一名用戶在ClawHub平台上發布了30個技能插件,正在悄無聲息地劫持AI智能體,將其組建成一個大規模加密貨幣挖礦集群——整個過程既不依賴惡意軟體,也未獲得用戶的任何授權。
AI智能體安全公司Manifold的研究負責人Ax Sharma在ClawHub上發現了這批技能插件。ClawHub是專為OpenClaw技能設計的註冊表與應用市場。
發布這批技能的ClawHub用戶名為"imaflytok",相關插件目前累計下載量已達約9800次。Sharma向媒體透露,他將這次攻擊活動命名為"ClawSwarm",並指出其與以往ClawHub惡意代碼傳播事件的本質區別——它既不使用惡意軟體,也不以人類用戶為攻擊目標。
ClawSwarm的攻擊對象是AI智能體本身,以及SKILL.md文件。SKILL.md文件是一種用於向智能體下達指令、規定其如何與外部系統交互的文檔。
"ClawSwarm並不是一項漏洞披露,"Sharma表示,"沒有需要修補的安全缺陷,基礎設施也沒有任何隱蔽之處。這是GitHub上的一個開源項目,配有公開文檔、Telegram群組以及掛牌於公鏈上的Token。"
此次攻擊活動的運作方式是:用戶安裝一個表面上無害的技能插件——這些插件涵蓋各類應用場景,包括定時任務助手(下載量903次)、智能體安全工具(685次)、大額交易監控工具(347次)、跨平台發布工具(292次)以及預測市場集成插件(154次)。
安裝完成後,AI智能體會自動向"onlyflies.buzz"完成註冊。該網站以$FLY Token和"前衛"藝術為核心內容。
向外部伺服器完成註冊後,智能體會按照SKILL.md文件中的指令執行操作,將自身名稱、功能列表及已安裝的技能資訊上報給第三方伺服器。
智能體隨後會將憑證儲存於本地磁盤,每四小時向伺服器簽到一次。若已安裝相關技能,智能體還會自動生成一個Hedera加密貨幣錢包,並將私鑰註冊至同一伺服器。整個過程無需用戶審批,用戶對此也毫不知情。
值得注意的是,除了Sharma所記錄的這場加密挖礦集群攻擊活動外,ClawSwarm同時也是GitHub上一個開源智能體技能框架的名稱。"imaflytok"在onlyflies.buzz上開放的技能插件,正是基於該框架的一種具體實現。
"你可以看完這一切,然後得出結論:這不過是一個小型加密社區在搭建智能體基礎設施。也許確實如此,"Sharma寫道,"但無論意圖如何,其運作機制是完全相同的:AI智能體在用戶不知情、未授權的情況下,悄悄向第三方伺服器註冊自身,上報自身能力,生成加密密鑰,並接收遠程任務。"
這與此前的Tea Protocol Token挖礦攻擊活動如出一轍——彼時有超過15萬個垃圾軟體包湧入npm註冊表,專門用於刷取Tea積分。
Sharma認為,ClawSwarm"遵循著完全相同的套路",只不過將npm包替換成了技能插件。"無論ClawSwarm實例究竟是一場智能體經濟學的合法實驗,還是投機性加密貨幣的用戶招募漏斗,對於普通用戶而言,結果都是一樣的:他們的智能體正在替一個陌生人做他們從未授權的事,使用的還是他們從未認可的密鑰,"他寫道。
目前,ClawHub維護方尚未對媒體的詢問作出回應,合法的ClawSwarm開源框架方面同樣未有任何表態。
Sharma指出,維護方目前處境兩難,因為從嚴格意義上來說,這並不構成安全漏洞——儘管智能體在未獲用戶批准的情況下加入了網路並生成了錢包。
"註冊表層面並不是解決這個問題的正確位置,"他表示,"專門掃描惡意代碼特徵的掃描工具在這裡什麼也發現不了:cURL調用是乾淨的,SDK也是合法的。真正需要的是對智能體在技能安裝後實際行為的運行時可見性。註冊表方面可以要求技能清單中明確披露網路端點和錢包生成行為,但這是一個政策問題,而非安全問題。"
Q&A
Q1:ClawSwarm攻擊活動是怎麼運作的?
A:用戶安裝了表面上無害的ClawHub技能插件後,AI智能體會自動向第三方伺服器"onlyflies.buzz"完成註冊,將自身名稱、功能及已安裝技能資訊上報,並在本地儲存憑證、每四小時簽到一次。若安裝了相關技能,智能體還會自動生成Hedera加密貨幣錢包並上傳私鑰。整個過程既不依賴惡意軟體,也無需用戶授權,用戶對此完全不知情。
Q2:ClawSwarm與傳統惡意軟體攻擊有什麼區別?
A:ClawSwarm不依賴任何惡意軟體,也不以人類用戶為攻擊目標,而是直接針對AI智能體本身及其SKILL.md指令文件。其基礎設施完全公開透明,代碼託管於GitHub,並附有公開文檔和Telegram群組。傳統安全掃描工具因檢測不到惡意代碼特徵,對ClawSwarm幾乎無能為力。
Q3:如何防範ClawSwarm這類針對AI智能體的攻擊?
A:安全研究人員Ax Sharma指出,在註冊表層面進行防禦效果有限,因為相關代碼本身並不包含惡意特徵。真正有效的防禦手段是對智能體安裝技能後的實際行為進行運行時監控,同時要求技能清單中明確披露涉及的網路端點和錢包生成操作。這本質上是一個需要通過政策規範加以解決的問題,而非單純的技術安全漏洞。
