在2026年初,一場涉及AI助手OpenClaw的重大安全事件引起了廣泛關注。研究人員發現,OpenClaw的官方ClawHub庫中存在386個惡意插件,這些插件專門用於竊取加密貨幣憑證。這一事件不僅揭示了開源AI平台的安全漏洞,還對加密貨幣市場的信任度造成了衝擊。
這些惡意插件的發現始於一項針對ClawHub庫的安全審計。該審計於2月2日進行,揭示了多達386個惡意技能,這些技能由用戶hightower6eu上傳,下載次數接近7000次。這些技能共享相同的指揮與控制基礎設施,IP地址為91.92.242.30。更令人擔憂的是,這些插件在1月27日至29日期間被上傳到ClawHub,其中一些甚至曾經出現在ClawHub的首頁上。
安全專家指出,這些惡意插件並未利用技術漏洞,而是依賴於社交工程手段和ClawHub技能發布過程中的安全審查缺失。Paul McCarty,一位漏洞研究員,直言這是ClawHub版本的“ClickFix”,即惡意行為者引誘受害者安裝惡意軟件。這一事件將第三方插件的供應鏈問題升級為一個更高影響的威脅,尤其是在AI驅動的操作中,這些惡意插件能夠在用戶的許可下執行操作。
AI專家Diana Kelley認為,當AI助手能夠以用戶級別的權限跨文件、代幣、網絡和基礎設施行動時,受損的擴展功能就成為了委託執行加上委託權限的問題。這一事件反映出供應鏈安全在AI代理平台中的挑戰,尤其是在開源項目中,這些項目需要依賴社區的警惕和技術控制。
市場觀察家預測,這一事件可能對加密貨幣市場的情緒和交易量產生顯著短期影響。投資者可能會對開源AI工具,特別是與加密貨幣交易相關的工具,持更加謹慎的態度。這種謹慎態度可能導致交易量的暫時下降,尤其是對於那些與受損插件頻繁關聯的加密貨幣,如ByBit和Polymarket。
從長遠來看,如果不迅速實施安全措施,開源AI工具的信任度可能會下降,進而影響其採用率和創新進程。然而,這一事件也可能成為推動行業加強安全性和透明度的催化劑,促使更多企業採取預防措施以保護用戶免受新興威脅的侵害。
歷史上,類似的事件並不罕見。2017年的“以太坊釣魚檢測器”事件和2020年的“DeFi漏洞”事件都表明,惡意行為者如何利用開源工具從不知情的用戶那裡竊取資金。這些事件促使監管機構加強對加密貨幣行業的監管,並強調了強有力的安全措施和透明度的重要性。
未來,業界將密切關注OpenClaw如何加強其安全措施,以及這是否會促使行業對開源AI平台實施更嚴格的安全協議。Jamieson O’Reilly,一位安全研究員,表示,開源項目需要社區的警惕和技術控制,他們將在未來幾天內發布安全公告以應對這些風險。這一事件可能成為推動行業加強安全性和透明度的催化劑,促使更多企業採取預防措施以保護用戶免受新興威脅的侵害。
在這場風波中,最終的關鍵在於,業界如何在保障用戶安全的同時,繼續推動開源AI技術的創新和應用。隨著時間的推移,OpenClaw的應對措施和整個行業的反應將成為觀察的焦點。
