安全研究团队在OpenClaw智能体生态系统的公共skills注册平台ClawHub中发现了一个严重漏洞。该漏洞允许攻击者人为虚增恶意skills的下载量,绕过平台安全检查并操纵搜索排名。通过将受感染skill推至榜首,威胁行为者能够对人类用户和自主AI Agent发起高效的大规模供应链攻击。
漏洞技术原理:Convex框架配置失误
该漏洞根源在于ClawHub后端使用的Convex框架实现缺陷。Convex采用类型化远程过程调用(RPC)模型,开发者需明确将后端函数定义为内部私有或公开接口。
研究人员发现,downloads:increment函数被错误配置为公开可调用,而非内部私有函数。这一配置错误导致所有验证层(认证、速率限制、去重机制)被完全绕过。
攻击者只需向暴露的部署URL发送包含有效skill标识符的未认证curl请求,即可无限触发端点,任意增加目标skill的下载量指标。
攻击链演示与实际影响
为验证危害,研究人员构造了真实PoC供应链攻击:
- 发布一个伪装成“Outlook Graph Integration”的合法skill,隐藏伪装成遥测功能的数据外传载荷。
- 通过滥用暴露的RPC端点,向后台数据库发送海量请求,使恶意skill瞬间登顶ClawHub搜索结果(请求超2万次下载)。
该skill成功欺骗了搜索日历工具的人类用户和OpenClaw自主Agent。六天内,该skill在全球50个城市被执行达3900次,渗透多家上市公司。载荷暗中窃取用户名、域名等信息,证明真实攻击者可轻易获取Agent执行环境中的变量、内存令牌或本地文件。
修复进展与安全启示
Silverfort团队于2026年3月16日向OpenClaw负责任披露漏洞,开发团队在24小时内完成修复。
此次事件揭示了“氛围编程”(vibe coding)快速开发模式下的安全风险,以及AI Agent仅凭社交证明(下载量、排名)自主安装决策的危险性。
为应对未来AI Agent供应链威胁,Silverfort已发布开源安全插件ClawNet,可在运行时拦截安装行为,利用Agent语言模型在执行前扫描skill内容中的恶意模式。
)
)
)
