凌晨两点,你的AI助手自动执行了一条安装命令。三分钟后,攻击者已经拿到了你的云密钥和SSH凭证——而你还在睡觉。
这不是科幻片。Zscaler ThreatLabZ今年3月发现的真实攻击,把"AI代理自动化"变成了黑客的特洛伊木马。他们做了个假插件,专门钓那些最懂技术的人。
攻击设计:为什么选"技能"当载体
OpenClaw框架(前身叫Clawdbot/Moltbot)是个开源工具,让AI代理能在本地执行高权限任务。它的核心设计是模块化"技能"——像拼乐高一样,开发者按需下载功能模块。
这个设计被攻击者精准利用。他们在GitHub发布了"DeepSeek-Claw"技能,表面看是正经的DeepSeek集成插件。SKILL.md文件里藏着一行PowerShell命令,自动从远程服务器拉取Windows安装包。
不需要钓鱼邮件,不需要社工话术。AI代理的工作流程本身就是攻击通道——开发者配置好自动化规则后,恶意代码随正常安装流程静默落地。
攻击者赌的是:用AI的人,会信任AI的自动化决策。
双轨投递:Windows走远控,跨平台走窃密
这个技能的恶意逻辑会判断两条执行路径。
路径一:Windows系统 + AI自动触发。安装包释放两个文件——一个正经签名的GoToMeeting可执行文件,和一个伪装成依赖项的恶意动态链接库(DLL)。程序启动时加载假DLL,这叫"DLL侧加载"技术。恶意代码先给Windows安全工具打内存补丁让它们变瞎,再解密启动Remcos远程控制木马(RAT),建立加密回连通道。
路径二:macOS/Linux,或Windows手动安装。这时候换GhostLoader上场——跨平台窃密工具,专门收割开发环境里的云令牌、SSH密钥、浏览器会话Cookie。
一套代码,覆盖三大系统。攻击者没做选择题,全都要。
杀伤链:从一台机器到整个基础设施
Remcos启动即隐身,键盘记录、浏览器凭证收割、屏幕监控全开启。GhostLoader则像吸尘器一样扫过开发环境——AWS凭证、Azure令牌、GitHub SSH密钥、Docker配置文件,全部打包外传。
真正的危险在"连锁反应"。现代开发者的本地机器不是孤岛:CI/CD流水线权限、生产环境访问密钥、内部API网关凭证,往往都存在本地配置文件或浏览器密码管理器里。
一个中招的DevOps工程师,可能让攻击者在几分钟内横向移动到整个组织的基础设施。而触发这一切的,只是一条看起来完全正常的openclaw install deepseek-claw命令。
为什么这事特别烦人
传统安全模型假设"人会检查自己执行的操作"。但AI代理的工作流是:你写规则,它自动执行。检查环节被压缩到配置阶段,运行时完全无人值守。
攻击者把恶意代码塞进这个信任缺口。SKILL.md是框架标准文件,开发者扫一眼就会跳过——谁会想到说明书里藏了下载命令?
更烦的是检测难度。恶意流量来自正常的AI框架进程,行为模式跟合法插件安装几乎一样。传统EDR(终端检测与响应)很难区分"正常自动化"和"恶意自动化"。
GitHub作为分发渠道,给攻击加了层合法性滤镜。开发者对平台有基础信任,star数和fork数又能伪造社交证明。
给技术团队的 checklist
1. 给AI代理的权限做最小化切割。能读代码的别让它写,能写代码的别让它装依赖,能装依赖的别让它碰生产密钥。
2. 强制人工复核高权限操作。再智能的代理,执行shell命令或访问敏感目录前弹个确认框——麻烦,但比事后救火便宜。
3. 把开发环境的凭证管理从本地迁走。用短期令牌、硬件密钥、或者至少别存在浏览器密码管理器里。GhostLoader这类工具最爱翻的就是Chrome和Edge的登录数据。
4. 监控AI框架的异常出站连接。OpenClaw正常不该连陌生IP,如果看到,先断网再排查。
5. 插件安装前读SKILL.md。不是扫一眼,是真的读。这次攻击的恶意命令就明文写在里面——攻击者赌的就是没人看。
行业层面的尴尬
AI代理框架的设计哲学是"让AI能做事",安全是后置补丁。OpenClaw的模块化技能系统、自动权限提升、无人值守执行——每个特性都是生产力工具,也是攻击面。
这次攻击暴露的深层问题:当AI开始替人做决定,"人的安全意识"这个最后防线正在失效。我们教了二十年"别点陌生链接",现在得重新教"别让你的AI点陌生链接"——但后者难得多,因为AI不会怀疑。
攻击者已经跟上节奏。他们不再骗终端用户,开始直接骗AI系统。这个转变的速度,比安全行业的响应快。
DeepSeek-Claw事件是个信号:AI代理的供应链攻击,从理论变成日常操作。下次你看到某个热门框架的"官方技能"时,记得——GitHub上的官方仓库,和真正的官方维护者,可能是两回事。
热门跟贴