30个ClawHub技能悄然将AI智能体变成加密货币挖矿集群

一名用户在ClawHub平台上发布了30个技能插件，正在悄无声息地劫持AI智能体，将其组建成一个大规模加密货币挖矿集群——整个过程既不依赖恶意软件，也未获得用户的任何授权。

AI智能体安全公司Manifold的研究负责人Ax Sharma在ClawHub上发现了这批技能插件。ClawHub是专为OpenClaw技能设计的注册表与应用市场。

发布这批技能的ClawHub用户名为”imaflytok”，相关插件目前累计下载量已达约9800次。Sharma向媒体透露，他将这次攻击活动命名为”ClawSwarm”，并指出其与以往ClawHub恶意代码传播事件的本质区别——它既不使用恶意软件，也不以人类用户为攻击目标。

ClawSwarm的攻击对象是AI智能体本身，以及SKILL.md文件。SKILL.md文件是一种用于向智能体下达指令、规定其如何与外部系统交互的文档。

“ClawSwarm并不是一项漏洞披露，”Sharma表示，”没有需要修补的安全缺陷，基础设施也没有任何隐蔽之处。这是GitHub上的一个开源项目，配有公开文档、Telegram群组以及挂牌于公链上的Token。”

此次攻击活动的运作方式是：用户安装一个表面上无害的技能插件——这些插件涵盖各类应用场景，包括定时任务助手（下载量903次）、智能体安全工具（685次）、大额交易监控工具（347次）、跨平台发布工具（292次）以及预测市场集成插件（154次）。

安装完成后，AI智能体会自动向”onlyflies.buzz”完成注册。该网站以$FLY Token和”前卫”艺术为核心内容。

向外部服务器完成注册后，智能体会按照SKILL.md文件中的指令执行操作，将自身名称、功能列表及已安装的技能信息上报给第三方服务器。

智能体随后会将凭证存储于本地磁盘，每四小时向服务器签到一次。若已安装相关技能，智能体还会自动生成一个Hedera加密货币钱包，并将私钥注册至同一服务器。整个过程无需用户审批，用户对此也毫不知情。

值得注意的是，除了Sharma所记录的这场加密挖矿集群攻击活动外，ClawSwarm同时也是GitHub上一个开源智能体技能框架的名称。”imaflytok”在onlyflies.buzz上开放的技能插件，正是基于该框架的一种具体实现。

“你可以看完这一切，然后得出结论：这不过是一个小型加密社区在搭建智能体基础设施。也许确实如此，”Sharma写道，”但无论意图如何，其运作机制是完全相同的：AI智能体在用户不知情、未授权的情况下，悄悄向第三方服务器注册自身，上报自身能力，生成加密密钥，并接收远程任务。”

这与此前的Tea Protocol Token挖矿攻击活动如出一辙——彼时有超过15万个垃圾软件包涌入npm注册表，专门用于刷取Tea积分。

Sharma认为，ClawSwarm”遵循着完全相同的套路”，只不过将npm包替换成了技能插件。”无论ClawSwarm实例究竟是一场智能体经济学的合法实验，还是投机性加密货币的用户招募漏斗，对于普通用户而言，结果都是一样的：他们的智能体正在替一个陌生人做他们从未授权的事，使用的还是他们从未认可的密钥，”他写道。

目前，ClawHub维护方尚未对媒体的询问作出回应，合法的ClawSwarm开源框架方面同样未有任何表态。

Sharma指出，维护方目前处境两难，因为从严格意义上来说，这并不构成安全漏洞——尽管智能体在未获用户批准的情况下加入了网络并生成了钱包。

“注册表层面并不是解决这个问题的正确位置，”他表示，”专门扫描恶意代码特征的扫描工具在这里什么也发现不了：cURL调用是干净的，SDK也是合法的。真正需要的是对智能体在技能安装后实际行为的运行时可见性。注册表方面可以要求技能清单中明确披露网络端点和钱包生成行为，但这是一个政策问题，而非安全问题。”

Q&A

Q1：ClawSwarm攻击活动是怎么运作的？

A：用户安装了表面上无害的ClawHub技能插件后，AI智能体会自动向第三方服务器”onlyflies.buzz”完成注册，将自身名称、功能及已安装技能信息上报，并在本地存储凭证、每四小时签到一次。若安装了相关技能，智能体还会自动生成Hedera加密货币钱包并上传私钥。整个过程既不依赖恶意软件，也无需用户授权，用户对此完全不知情。

Q2：ClawSwarm与传统恶意软件攻击有什么区别？

A：ClawSwarm不依赖任何恶意软件，也不以人类用户为攻击目标，而是直接针对AI智能体本身及其SKILL.md指令文件。其基础设施完全公开透明，代码托管于GitHub，并附有公开文档和Telegram群组。传统安全扫描工具因检测不到恶意代码特征，对ClawSwarm几乎无能为力。

Q3：如何防范ClawSwarm这类针对AI智能体的攻击？

A：安全研究人员Ax Sharma指出，在注册表层面进行防御效果有限，因为相关代码本身并不包含恶意特征。真正有效的防御手段是对智能体安装技能后的实际行为进行运行时监控，同时要求技能清单中明确披露涉及的网络端点和钱包生成操作。这本质上是一个需要通过政策规范加以解决的问题，而非单纯的技术安全漏洞。