30個ClawHub技能悄然將AI智能體變成加密貨幣挖礦集群

一名用戶在ClawHub平臺上發布了30個技能插件，正在悄無聲息地劫持AI智能體，將其組建成一個大規模加密貨幣挖礦集群——整個過程既不依賴惡意軟件，也未獲得用戶的任何授權。

AI智能體安全公司Manifold的研究負責人Ax Sharma在ClawHub上發現了這批技能插件。ClawHub是專為OpenClaw技能設計的注冊表與應用市場。

發布這批技能的ClawHub用戶名為"imaflytok"，相關插件目前累計下載量已達約9800次。Sharma向媒體透露，他將這次攻擊活動命名為"ClawSwarm"，并指出其與以往ClawHub惡意代碼傳播事件的本質區別——它既不使用惡意軟件，也不以人類用戶為攻擊目標。

ClawSwarm的攻擊對象是AI智能體本身，以及SKILL.md文件。SKILL.md文件是一種用于向智能體下達指令、規定其如何與外部系統交互的文檔。

"ClawSwarm并不是一項漏洞披露，"Sharma表示，"沒有需要修補的安全缺陷，基礎設施也沒有任何隱蔽之處。這是GitHub上的一個開源項目，配有公開文檔、Telegram群組以及掛牌于公鏈上的Token。"

此次攻擊活動的運作方式是：用戶安裝一個表面上無害的技能插件——這些插件涵蓋各類應用場景，包括定時任務助手（下載量903次）、智能體安全工具（685次）、大額交易監控工具（347次）、跨平臺發布工具（292次）以及預測市場集成插件（154次）。

安裝完成后，AI智能體會自動向"onlyflies.buzz"完成注冊。該網站以$FLY Token和"前衛"藝術為核心內容。

向外部服務器完成注冊后，智能體會按照SKILL.md文件中的指令執行操作，將自身名稱、功能列表及已安裝的技能信息上報給第三方服務器。

智能體隨后會將憑證存儲于本地磁盤，每四小時向服務器簽到一次。若已安裝相關技能，智能體還會自動生成一個Hedera加密貨幣錢包，并將私鑰注冊至同一服務器。整個過程無需用戶審批，用戶對此也毫不知情。

值得注意的是，除了Sharma所記錄的這場加密挖礦集群攻擊活動外，ClawSwarm同時也是GitHub上一個開源智能體技能框架的名稱。"imaflytok"在onlyflies.buzz上開放的技能插件，正是基于該框架的一種具體實現。

"你可以看完這一切，然后得出結論：這不過是一個小型加密社區在搭建智能體基礎設施。也許確實如此，"Sharma寫道，"但無論意圖如何，其運作機制是完全相同的：AI智能體在用戶不知情、未授權的情況下，悄悄向第三方服務器注冊自身，上報自身能力，生成加密密鑰，并接收遠程任務。"

這與此前的Tea Protocol Token挖礦攻擊活動如出一轍——彼時有超過15萬個垃圾軟件包涌入npm注冊表，專門用于刷取Tea積分。

Sharma認為，ClawSwarm"遵循著完全相同的套路"，只不過將npm包替換成了技能插件。"無論ClawSwarm實例究竟是一場智能體經濟學的合法實驗，還是投機性加密貨幣的用戶招募漏斗，對于普通用戶而言，結果都是一樣的：他們的智能體正在替一個陌生人做他們從未授權的事，使用的還是他們從未認可的密鑰，"他寫道。

目前，ClawHub維護方尚未對媒體的詢問作出回應，合法的ClawSwarm開源框架方面同樣未有任何表態。

Sharma指出，維護方目前處境兩難，因為從嚴格意義上來說，這并不構成安全漏洞——盡管智能體在未獲用戶批準的情況下加入了網絡并生成了錢包。

"注冊表層面并不是解決這個問題的正確位置，"他表示，"專門掃描惡意代碼特征的掃描工具在這里什么也發現不了：cURL調用是干凈的，SDK也是合法的。真正需要的是對智能體在技能安裝后實際行為的運行時可見性。注冊表方面可以要求技能清單中明確披露網絡端點和錢包生成行為，但這是一個政策問題，而非安全問題。"

Q&A

Q1：ClawSwarm攻擊活動是怎么運作的？

A：用戶安裝了表面上無害的ClawHub技能插件后，AI智能體會自動向第三方服務器"onlyflies.buzz"完成注冊，將自身名稱、功能及已安裝技能信息上報，并在本地存儲憑證、每四小時簽到一次。若安裝了相關技能，智能體還會自動生成Hedera加密貨幣錢包并上傳私鑰。整個過程既不依賴惡意軟件，也無需用戶授權，用戶對此完全不知情。

Q2：ClawSwarm與傳統惡意軟件攻擊有什么區別？

A：ClawSwarm不依賴任何惡意軟件，也不以人類用戶為攻擊目標，而是直接針對AI智能體本身及其SKILL.md指令文件。其基礎設施完全公開透明，代碼托管于GitHub，并附有公開文檔和Telegram群組。傳統安全掃描工具因檢測不到惡意代碼特征，對ClawSwarm幾乎無能為力。

Q3：如何防范ClawSwarm這類針對AI智能體的攻擊？

A：安全研究人員Ax Sharma指出，在注冊表層面進行防御效果有限，因為相關代碼本身并不包含惡意特征。真正有效的防御手段是對智能體安裝技能后的實際行為進行運行時監控，同時要求技能清單中明確披露涉及的網絡端點和錢包生成操作。這本質上是一個需要通過政策規范加以解決的問題，而非單純的技術安全漏洞。