電子發燒友網報道（文/黃山明）近期，一款在全球開發者社區和科技圈現象級爆火的開源AI智能體（AIAgent）框架火出了圈，它被用戶親切地稱為“數字龍蝦”或“全能管家”，這就是OpenClaw。這并不是一款單純的聊天機器人，而是一個真正能夠幫助我們執行具體任務的助手。

也因此，OpenClaw在GitHub上的星標數在短短3個月內從0飆升至25萬以上，超越了Linux內核和React的歷史增速，成為GitHub史上增長最快的項目。但也正是由于OpenClaw的出現，催生了大量的“惡意仿冒項目”和“寄生攻擊”，這些惡意項目不僅難以識別，并且一旦中招，破壞力遠超傳統病毒。這也讓AI正式進入到“黑暗森林”時代。

OpenClaw爆火之后

OpenClaw作為一款開源的AI Agent，其作者為知名開發者PeterSteinberger，也是PSPDFKit的作者，曾用名Clawdbot、Moltbot。與其他的AIAgent不同的是，OpenClaw可以操作瀏覽器、讀寫文件、執行系統命令、調用API，并通過WhatsApp、Telegram、飛書等聊天軟件接收指令和匯報結果。

這種能夠切實幫助人們進行操作而非只是提供建議的能力，讓普通用戶第一次感受到AI真的能夠替自己干活。

更重要的是，在如今數據隱私日益敏感的今天，OpenClaw的完全開源與本地化部署能力可以讓用戶完全放心。因此代碼完全開放，也可以直接部署在個人電腦、NAS或私有服務器中，同時數據完全自主可控，不會上傳到第三方云端，與Claude、ChatGPT等“黑盒”服務形成鮮明對比。

當然，最關鍵的一點是，這款AI直接接管了執行權。例如需要修改代碼BUG，原來的方式是將代碼投喂給AI，讓AI進行修改，然后再將代碼復制回來。如今只需要打開OpenClaw，對它說“修復這個BUG”，它就可以代替用戶直接在電腦上改好。

與此同時，OpenClaw是完全免費開源的項目，配合本地運行的低成本模型，提供了一種“去中心化”的替代方案，讓每個人都可以擁有自己的AI Agent。

也正是因為開源，全球的開發者為OpenClaw開發了成千上萬個插件，覆蓋了從“自動搶票”到“量化交易”等各種場景。并且在社交媒體上也充斥著各種OpenClaw自動操作電腦的短視頻，例如全自動寫論文、全自動炒股分析等，這種直觀的視覺沖擊極大地推動了傳播。

有意思的是，其制作者PeterSteinberger在今年2月份宣布加入OpenAI，但OpenClaw將會以基金會形式繼續作為開源項目而存在。

不過也正是因為開源，OpenClaw天然就存在一定的風險，Microsoft安全博客直接把OpenClaw的這種帶動用戶操作的行為定義為：可以加載來自外部的代碼，用授予它的憑據去操作本地和云資源，本質上就是“帶持久憑據的不可信代碼執行”。

也就是說，OpenClaw可以擁有高權限，以及可動態加載外部的代碼，因此一旦被惡意利用，危害非常大。并且這種危害，已經開始顯現。

AI應用邁入“黑暗森林”時代

OpenClaw的爆火催生了官方維護的Skills（技能包）市場ClawHub，用戶可以在這里下載各種Skills來實現自己想要的功能，到2026年初，ClawHub已經有上萬個Skill。

但到今年2月，安全團隊KoiSecurity發現大量惡意Skill，將攻擊命名為ClawHavoc，也被譯為“利爪浩劫”。據相關統計，歷史ClawHub上至少出現過1184個惡意Skill，截至報告時，ClawHub平臺仍有3498個Skills，其中相當一部分是“垃圾/重復包裝”，惡意比例顯著。

這些惡意的Skills會在SKILL.md或腳本中插入“虛假安裝步驟”，誘導用戶執行curl/wget等命令，從攻擊者服務器下載惡意二進制文件。如果在macOS上下載并運行Atomic macOS Stealer （AMOS）木馬病毒，則會被竊取瀏覽器會話、SSH密鑰、云賬戶密碼、加密貨幣錢包等信息。

而針對Windows用戶，黑客則分發偽造的“OpenClaw_x64.exe”文件，在內存中靜默運行Vidar竊密程序以盜取賬號數據，并植入GhostSocks木馬將受害者電腦變成黑客的跳板節點。

科技媒體BleepingComputer報道，為了引導用戶下載到這些惡意程序，黑客們利用了微軟Bing的AI增強搜索功能中的BUG，將其搜索結果引導至托管在GitHub上的虛假OpenClaw安裝程序。

據AuthMind報道，近期還出現了偽造的“ClawdBot Agent”VS Code擴展，實際是竊取憑證的惡意軟件。研究人員Jamieson O’Reilly發現大量OpenClaw實例暴露在互聯網，并泄露明文API Key、Bot Token、OAuth憑證和對話歷史，被攻擊者利用。

傳統的電腦病毒通常會嘗試注入奇怪的代碼、連接未知的IP、修改系統文件，容易被殺毒軟件特征庫攔截。但OpenClaw的惡意項目識別難度卻呈指數級上升，這是因為OpenClaw的核心設計特性本身就具有攻擊性，具備高系統權限、自主決策、持久化運行等。

因此即便使用到了惡意的Skill，它所有的操作本質上都是用戶授權去給AI做的。也就是當惡意插件刪除你的文件時，在系統日志里看來，這就是“用戶通過OpenClaw執行了刪除命令”。

并且惡意邏輯不再寫死在代碼里，而是通過自然語言動態生成，攻擊者可以使用另一個AI不斷變異惡意提示詞，使得每一次攻擊的代碼表現都不一樣。傳統的基于“特征碼”的殺毒軟件完全失效。惡意指令還可能隱藏在圖片、PDF甚至音頻文件中，只有當OpenClaw的多模態模型解析這些文件時，隱藏的指令才會被激活。

加上OpenClaw主打“本地優先”，流量不出內網，傳統的網絡防火墻和云端威脅情報系統無法監測到內部的異常數據流轉。惡意行為發生在用戶的封閉的本地環境中，除非用戶實時監控每一個系統調用，否則很難察覺。

因此如果使用OpenClaw，這里給出幾個建議。盡量不要在個人工作機或生產環境直接運行，只在隔離的虛擬機或專用物理機里運行，使用最小權限賬戶。

同時嚴格限制Skills的安裝來源，如果需要安裝Skill，需要仔細閱讀SKILL.md和腳本內容，警惕任何要求你執行curl/wget、輸入密碼或關閉安全軟件的步驟。

絕不要給OpenClaw及其Skills高權限云賬號/生產密鑰，避免把AWS/GitHub/生產數據庫憑證暴露給OpenClaw或第三方Skill。確保綁定在127.0.0.1，不要監聽公網；必要時在前端再加一層反向代理和認證，達到網絡層嚴格隔離。

總結

OpenClaw本身是一個有創意的開源個人AI助手，但它的高權限與開放生態，在爆火之后迅速成為攻擊目標，官方Skills市場、安裝包分發、搜索結果和VS Code擴展等多個環節都出現了大量惡意項目。甚至打開了“自動化攻擊”的潘多拉魔盒。惡意項目不再是簡單的破壞代碼，而是利用AI的執行力和社會工程學技巧，讓攻擊變得更具隱蔽性和破壞力。

這使得識別惡意AI項目從單純的“代碼掃描”問題，演變成了復雜的“意圖識別”和“行為審計”問題。對于普通用戶來說，現在的風險不僅是下載到病毒，更是“被自己信任的AI助手背叛”。