OpenClaw遭25个高危漏洞围攻|websocket|上下文|元数据|敏感信息|调用

2026年头三个月，13.5万个OpenClaw实例裸奔在公网上，连密码都没设。同一时期，ClawHavoc攻击者往官方技能商店塞了1184个恶意插件，GhostClaw RAT通过拼写错误的npm包传播，AMOS Stealer专门收割macOS凭证。25个CVE漏洞被公开，最高评分9.9。

现有安全工具集体哑火。MCP协议攻击、WebSocket网关渗透、AI技能供应链投毒——ET Open、ET Pro、所有主流社区规则集，一个能打的都没有。

安全工程师Selim Senturk决定自己动手。他花了数周时间，从JFrog、Huntress、DepthFirst Security等机构的威胁研究报告里提取指标，手工编写了646条Suricata检测规则，命名为CGTI Lite。这不是自动化生成的规则堆砌，每一条都经过双指标验证设计。

为什么单字符串规则等于废纸

Suricata社区里充斥着大量"单content"规则。比如这条典型反面教材：

content:"download"; http.uri;

只要URI里出现"download"就告警。结果？正常软件更新、浏览器下载、CDN请求全部误报，运维团队被警报淹没后直接关闭规则。

CGTI Lite的解法强制要求双独立指标匹配。以GhostClaw C2检测为例：

tls.sni匹配"trackpipe.dev" + isdataat:!1,relative确保精确域名而非子串 + flow:to_server,established限定出站TLS握手阶段

三个条件叠加，误报率压到接近零。Senturk在规则元数据里直接标注false_positive Zero，这种底气来自指标设计的冗余度。

三层置信度：从"已知坏"到"行为可疑"

646条规则按检测置信度分层，对应不同的响应优先级。

第一层（Priority 1）处理高置信度威胁：已知C2基础设施IP/域名、特定CVE漏洞利用签名、JA3/JARM指纹。这些指标直接关联已公开威胁研究，比如JFrog对GhostClaw的逆向分析。触发即告警，无需人工研判。

第二层（Priority 2）聚焦行为模式：数据外泄到paste站点、异常WebSocket指令序列、符合供应链攻击特征的HTTP请求。这类规则需要协议级别的上下文限定，配合阈值检测减少噪音。

第三层（Priority 3）是启发式检测，用于捕获未知变种。Senturk没有透露具体实现，但提到这部分规则需要安全运营团队结合环境基线调优。

13个专项类别覆盖完整攻击链

规则集按攻击阶段和技术类型切分，包括：

ClawHavoc技能商店投毒检测、GhostClaw RAT通信特征、AMOS Stealer凭证窃取行为、MCP协议异常调用、WebSocket网关滥用、暴露实例扫描识别、npm/技能供应链污染、CVE-2026-XXXX系列漏洞利用、JA3/JARM指纹库、C2基础设施情报、数据外泄通道、权限提升尝试、持久化机制检测。

每个类别对应2026年Q1实际发生的攻击 campaign。比如MCP规则专门识别模型上下文协议中的越权调用——当AI agent被诱导执行超出授权范围的系统命令时触发。

Senturk在GitHub仓库里放了一个跨平台管理工具，支持规则热更新和性能监控。646条规则全量加载后的内存占用，他在文档里给了具体数字：单核Suricata实例约占用340MB，处理10Gbps流量时CPU占用率12-18%。