国家互联网应急中心提醒：部分智能体技能包（Skills）存在越狱和挖矿风险

一次安全扫描，揪出336个“带毒”技能包

国家信息安全漏洞共享平台（CNVD）在2026年5月发布的公告中，一次性曝光了多款沉溺于“木马投毒”的恶意技能包（Skills）。这些技能包伪装成正常的交易分析、自动更新、财务管理等工具，实则内置了加密后门。具体清单显示，包括 polymarket-hyperliquid-trading、bybit-trading、autoupdater、updater、clawhubb 等在内的至少9个技能包，均被标记为“木马投毒”，版本号从1.0.0到1.5.6不等，其哈希值已被列入黑名单。

更令人震惊的是，对ClawHub技能市场的3016个插件进行全量扫描后，发现：

• 336个插件包含恶意代码，占比高达10.8%。
• 17.7%的插件会获取不可信第三方内容，成为间接引入安全隐患的载体。
• 2.9%的插件会在运行时从外部端点动态获取执行内容，这意味着攻击者可以远程实时篡改AI智能体的执行逻辑。

一句隐藏指令就能让AI“叛变”——提示词注入触发越狱

攻击者并不满足于仅仅植入木马，他们更擅长利用AI自身的安全漏洞。国家互联网应急中心指出，OpenClaw等智能体被授予了极高的系统权限（包括访问本地文件系统、读取环境变量、调用外部API和安装插件），但默认安全配置极为脆弱。其中，“提示词注入”是当前最隐蔽的攻击手段。

网络攻击者通过在被访问的网页中构造隐藏的恶意指令，诱导OpenClaw读取该网页内容。智能体在“执行任务”的伪装下，可能被欺骗读取用户的系统密钥，并通过网络请求发送给攻击者的服务器。这种攻击无需用户点击任何链接，只需AI在后台加载一个看似无害的页面，越狱便悄然完成。

挖矿、窃密、当“肉鸡”——你的设备已沦为攻击者提款机

恶意技能包最直接的目的就是窃取数字资产和算力。CNVD的监测显示，多款虚假技能包（如taobao-merchant-ops、ai-financial-report-cn-payment等）不仅诱导用户付费，更在后台静默下载挖矿木马，将用户的CPU和GPU资源用于加密货币挖矿，导致设备性能骤降、电费飙升。

除了挖矿，这些木马还能：

• 窃取API密钥和加密钱包私钥：从环境变量、本地存储中直接提取敏感数据。
• 部署后门程序：攻击者可以远程控制设备，将其作为跳板攻击内网其他终端。
• 删库跑路：由于对用户指令理解偏差，AI可能将电子邮件、核心生产数据彻底删除，造成不可逆损失。

对于金融、能源等关键行业，一旦智能体被攻破，核心业务数据、商业机密和代码仓库可能完全暴露，甚至导致整个业务系统瘫痪。

供应链已成“毒链”：超两成插件间接引入外部威胁

本次事件暴露出智能体生态的供应链安全危机。恶意插件并非仅靠植入代码，更多是通过间接方式污染整个下游：17.7%的ClawHub技能插件会加载不可信的第三方库或API，攻击者可以通过攻陷这些外部服务来“隔山打牛”。更危险的是，2.9%的插件采用动态代码执行机制（如eval、远程脚本加载），攻击者可随时修改云端的内容，让原本良性的插件瞬间变成恶意工具。

国家互联网应急中心呼吁，企业应立即核查内部使用的技能包清单，对来源不明、权限过高的插件进行隔离。同时建议：

• 强化网络控制：禁止将OpenClaw默认管理端口（18789）暴露在公网上，必须通过VPN或白名单访问。
• 严格隔离运行环境：使用容器或沙箱技术限制AI程序的系统权限，禁止其直接访问密钥文件和私密网络。
• 建立供应链黑名单：对照CNVD发布的恶意插件哈希值清单（如2bd3f09c41f4a2306602d0895decdaf5等），彻底清理内部已安装的恶意技能包。