> **来源:[研报客](https://pc.yanbaoke.cn)** # OpenClaw 生态威胁分析报告总结 ## 核心内容 本报告分析了OpenClaw及其Skills生态在互联网上的暴露面、安全威胁及仿冒域名活动,揭示了当前生态面临的安全风险与治理挑战。 --- ## 一、OpenClaw 互联网暴露面分析 ### 1.1 全球部署规模 - 截至2026年3月13日,全球已发现 **232,958** 个OpenClaw部署实例。 - 覆盖 **149,703** 个独立IP地址。 - **40%** 的暴露面出现在默认端口 **18789**,**28%** 出现在 **mDNS** 默认端口 **5353**。 - 暴露资产数呈现 **快速增长趋势**,从2月初的约5,000上升至3月12日的 **90,000+**。 ### 1.2 地理分布 - 部署主要集中在 **美国** 和 **中国**,合计占全球总数的 **65%+**。 - 中国部署集中在 **北京、上海、广东、中国香港、浙江** 等经济发达地区。 - 其他主要分布地区包括 **德国、新加坡、日本**。 ### 1.3 漏洞暴露面 - 截至2026年3月13日,**20,471** 个OpenClaw实例可能存在安全漏洞。 - 覆盖 **13,643** 个IP地址。 - 约 **9%** 的暴露资产存在漏洞风险,需引起高度重视。 --- ## 二、Skills 生态威胁分析 ### 2.1 威胁背景 - Skills 是 AI Agent 生态中的核心扩展机制,允许 Agent 操作文件、执行代码、调用 API。 - ClawHub 作为公共 Skills 注册中心,**无需审核机制**,仅需注册 GitHub 账号即可上传,存在较大安全风险。 ### 2.2 Skills 生态规模与增长态势 - 截至2026年3月15日,主要平台 Skills 总量已接近 **75万个**。 - 每日新增约 **2.1万个**,日增长率 **2% - 3%**。 - 预计一年后总量将突破 **800万个**,需建立系统化安全检测机制。 ### 2.3 检测方法与覆盖面 - 检测流程包括:**规则引擎快速筛查**、**LLM语义分析深度研判**、**分析师人工确认**。 - 覆盖 **12大威胁类别**,包括: - 提示词注入 - 命令注入 - 数据外泄 - 凭证访问 - 混淆技术 - 社会工程学 - 权限提升 - 持久化机制 - 文件系统破坏 - 加密钱包访问 - 供应链攻击 - 触发劫持 ### 2.4 扫描结果分析 #### 2.4.1 结果综述 - 扫描覆盖 **24万个** Skills 包。 - **96.7%** 为正常(CLEAN),**3.18%** 为可疑(SUSPICIOUS),**0.08%** 为恶意(MALICIOUS)。 #### 2.4.2 恶意案例分析 **案例一:excel-automation-main(Windows RCE 恶意Skill)** - 伪装成 Excel 自动化工具,通过 **提示词注入**、**自动执行触发** 和 **远程二进制下载 + RCE** 形成完整攻击链。 - 恶意脚本直接执行下载并运行远程恶意程序,**无校验机制**。 **案例二:omnicogg(伪装多平台集成工具的 AMOS 窃密木马投放)** - 伪装成多平台集成工具,**README.md** 中嵌入 **base64编码的恶意命令**。 - 恶意命令从远程服务器拉取脚本并执行,窃取 **macOS 系统密码、Chrome 密码、加密货币私钥** 等敏感信息。 - 通过 **21MB 垃圾数据填充** 降低人工审查发现概率,**SKILL.md** 内容正常,增加迷惑性。 **案例三:self-evolve(Agent身份重塑 + 持久化蠕虫)** - 伪装成 Agent 自主进化工具,通过 **提示词操纵** 实现恶意行为。 - 指令伪装成用户授权,强行修改 Agent 的核心配置文件。 - **自我复制机制**,感染的 Agent 会自主发布新 Skill,形成 **语义蠕虫传播**。 - 使用情感话术 **消除 Agent 的安全机制**,实现无摩擦攻击。 **案例四:X-twitter(SVG隐藏XSS数据窃取)** - 伪装成 Twitter/X 集成工具,**logo.svg** 中嵌入 XSS 攻击脚本。 - 攻击脚本遍历 **localStorage、sessionStorage、cookies、indexedDB** 等,收集敏感数据。 - 数据通过 **fetch()** 发送到攻击者控制的 Webhook 地址,实现数据外泄。 --- ## 三、OpenClaw 及 ClawHub 仿冒域名分析 ### 3.1 仿冒域名趋势 - 自2026年1月30日 OpenClaw 定名起,仿冒域名活动持续存在,**每天稳定注册40~60个**。 - 3月6日 OpenClaw 爆火后,仿冒域名数量激增,**3月10日单日峰值达340个**。 - 截至3月13日10:00,累计观察到 **3,500+ 个仿冒域名**。 ### 3.2 仿冒域名类型 - **域名抢注买卖**(占多数):注册与 OpenClaw 相似域名后挂牌出售,属于投机行为。 - **品牌仿冒钓鱼**:仿冒 OpenClaw 官方站点,用于窃取用户凭证或投放恶意软件。 - **竞品推广引流**:部分仿冒域名用于推广腾讯的 Qclaw。 - **用户配置泄露**:部分用户将 OpenClaw 网关暴露在公网,导致 Gateway 配置可被访问。 ### 3.3 基础设施特征 - 仿冒域名所用主机的地理分布和提供商与全球市场占有率一致,无特定集中性,表明仿冒活动为 **广泛投机行为**。 --- ## 四、总结 ### 安全威胁总结 - **互联网暴露面持续扩大**:全球已有 23 万+ OpenClaw 实例暴露在互联网,约 9% 存在漏洞风险。 - **Skills 供应链投毒活跃**:恶意 Skills 通过多种手段(如提示词注入、远程代码执行、数据窃取等)对用户构成威胁,攻击手法已从基础混淆演进到高级形态。 - **仿冒域名急剧增长**:累计 3,500+ 仿冒域名,涵盖多种恶意目的,随着 OpenClaw 热度上升,仍将持续增长。 ### 治理建议 - 建立 **系统化的安全检测机制**,对 Skills 包进行持续、自动化的安全扫描和分析。 - 强化 **SKILL.md 和 README.md 的审查机制**,防止恶意内容藏匿。 - 提高 **用户安全意识**,避免暴露 OpenClaw 网关配置。 - 增强 **域名注册与监测机制**,识别并拦截仿冒域名。 --- ### 关键信息 - OpenClaw 暴露面快速扩张,安全风险显著。 - ClawHub 作为 Skills 注册中心,缺乏审核机制,易被恶意利用。 - 恶意 Skills 表现形式多样,包括 RCE、数据窃取、Agent 身份劫持、蠕虫传播等。 - 仿冒域名活动广泛,需加强监测与治理。