当你习惯性地在终端敲下那条安装命令,看着进度条飞速跑完,大概率不会多想——这个插件名字前面明明挂着官方前缀,能有什么问题?可就在过去这段时间,AI代理圈子里发生的一件事足以让所有人倒吸一口凉气:有人成功把"李鬼"包装成了"李逵",而且一混就是二十三个。
事情的起因是Manifold Security团队在日常威胁狩猎中的一次偶然发现。他们在ClawHub插件仓库里扫到了一批不对劲的提交记录,这些插件全部顶着@openclaw/和@clawhub/这样的命名空间前缀,表面看跟官方出品的工具别无二致。可仔细一查,发布账号跟OpenClaw官方半毛钱关系都没有。换句话说,攻击者钻了一个很隐蔽的空子:既然ClawHub采用了类似npm的@owner/作用域机制,那只要能让自己的包名看起来像是"官方认证",就能骗过绝大多数开发者。
这二十三个插件可不是挂着空名的摆设。Manifold Security在跟CSN分享的技术报告里写得明明白白:每一个被标记的包都能在代理环境里执行代码。这听起来可能有点抽象,但放到实际场景里就相当可怕了。你的AI编码助手——不管是Claude Code、Cursor还是Codex——本来是要帮你写代码、查漏洞、自动化处理开发任务的。结果这些插件一装进去,等于在自家门口给陌生人留了一把钥匙。
更麻烦的是权限问题。这批恶意插件里有些能触碰到非常敏感的操作面:自主支付处理、主机级git命令执行、代理配置导出,还有直接连外部API。想象一下,你让AI助手帮你提交一段代码,它背后却偷偷调用了支付接口;或者你以为只是在同步一个远程仓库,实际上插件已经把本地环境变量打包发到了境外服务器。这种"温水煮青蛙"式的渗透,往往比明目张胆的勒索软件更难察觉。
ClawHub目前收录了超过一千五百个插件,体量不算小,但问题恰恰出在信任模型的执行上。按理说,@owner/前缀应该是一道门槛,只有经过验证的组织账号才能在这个范围内发布内容。可现实是,这道门槛在某些环节出现了松动,外部账号居然能在保留的组织范围内畅通无阻地上传包。这种"半开半闭"的验证机制,比完全没有验证还要危险——因为它制造了一种虚假的安全感。开发者看到前缀就放心了,审查环节反而松懈了。
有人可能会问,npm不也用了这么多年作用域机制,怎么没出这么大乱子?这里面的差别在于AI代理的运行环境本身就在快速膨胀。传统软件包出了问题,最多影响一个项目构建;但AI代理插件一旦作恶,它接触的是你的代码库、你的云凭证、你的业务逻辑,甚至你的资金流转路径。攻击面被放大了不止一个量级。而且AI代理的"自主性"特征让事情变得更棘手——很多操作是代理在无人值守的情况下自动完成的,等你发现异常,数据可能早就传完了。
这次事件暴露的其实不只是ClawHub一家的管理漏洞。整个AI代理供应链的安全水位都在接受拷问。从模型训练数据到插件市场,从API调用链到工具执行沙箱,任何一个环节掉链子,都可能成为攻击者的跳板。OpenClaw作为母项目,其官方工具如@openclaw/whatsapp和@openclaw/codex本身是完全合法的,但攻击者正是利用了这种"官方光环"来给自己打掩护。这种"借壳上市"的手法在供应链攻击里不算新鲜,可当它跟AI代理的高权限特性结合在一起,破坏力就被成倍放大了。
眼下开发者能做什么?最直接的一招就是别光看包名前缀。哪怕名字再像官方出品,也要去仓库主页核对发布者身份、查看代码变更历史、留意最近有没有异常提交。对于涉及支付、git操作、配置导出的插件,更是要逐行审查或者干脆在隔离环境里先跑一遍。ClawHub这边显然也需要收紧验证策略,把作用域前缀的注册和发布权限彻底绑定到组织身份上,不能再让"谁都能来挂个牌子"的情况继续存在。
这件事给整个行业敲了一记闷棍。AI代理的能力越强,它身上绑定的"钥匙串"就越沉重,供应链上任何一个松动的螺丝都可能引发连锁反应。二十三个插件已经被揪出来了,但谁也不敢保证暗处没有更多"漏网之鱼"。在AI代理生态继续狂飙突进的路上,安全这道刹车片,该紧一紧了。
扫一扫
2698
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
