安全研究团队 Silverfort 在 OpenClaw 智能体生态系统的公共技能注册平台 ClawHub 中发现了一个严重漏洞。该漏洞允许攻击者人为虚增恶意技能的下载量，从而绕过安全检查、操纵搜索排名。一旦恶意技能被推至榜首，威胁行为者就能对人类用户和自主 AI Agent 发起大规模供应链攻击。

ClawHub vulnerability puts malicious skill at #1 | Silverfort

漏洞技术原理

该漏洞的根源在于 ClawHub 后端基于 Convex 框架的实现缺陷。Convex 采用类型化远程过程调用（RPC）模型，要求开发者明确将后端函数定义为内部（internal）或公开（public）接口。

研究人员发现，downloads:increment 函数被错误配置为公开可调用（public mutation），而非内部私有函数（internalMutation）。这一配置失误导致所有验证层被完全绕过。

Remote Procedure Call (RPC) in Operating System - GeeksforGeeks

攻击者只需向暴露的部署 URL 发送一个包含有效 skill 标识符的未认证 curl 请求，即可在无认证、无速率限制、无去重机制的情况下无限触发端点，任意增加目标技能的下载量指标。

Bash

# 示例攻击请求（简化）
curl -X POST https://[deployment-url]/api/mutations/downloads:increment \
  -d '{"skillId": "malicious-skill-id"}'

攻击链与实际影响

为验证漏洞危害，Silverfort 研究人员构建了完整的 PoC 供应链攻击：

1. 发布伪装技能：创建一个看似合法的 Outlook Graph Integration 技能，内部隐藏伪装成遥测功能的数据外传载荷。
2. 滥用 RPC 端点：通过暴露的 downloads:increment 函数，向后台数据库发送海量请求，瞬间将恶意技能的下载量推高至超过 2 万次。
3. 排名操纵成功：恶意技能迅速登顶 ClawHub 搜索结果榜首。

ClawHub vulnerability puts malicious skill at #1 | Silverfort

结果令人震惊：在短短六天内，该技能在全球 50 多个城市 被执行 3900 次，成功渗透多家上市公司。载荷暗中窃取用户名、域名等信息，证明真实攻击者可轻易获取 Agent 执行环境中的变量、内存令牌或本地文件。

From Automation to Infection: How OpenClaw AI Agent Skills Are Being Weaponized ~ VirusTotal Blog

此外，OpenClaw 自主 Agent 也未能幸免——当被询问推荐邮件/日历工具时，Agent 会基于“高下载量”这一社交证明，优先推荐被操纵的恶意技能。

修复与安全启示

Silverfort 团队于 2026 年 3 月 16 日 向 OpenClaw 团队负责任地披露了该漏洞。开发团队在 24 小时内 完成修复并部署到生产环境，体现了高效的协作响应。

这一事件深刻揭示了两个核心风险：

• “氛围编程”（vibe-coding） 快速开发模式下隐藏的安全隐患，尤其是在 RPC 接口配置上。
• AI Agent 仅凭社交证明（下载量、排名）自主安装技能 的危险性——Agent 的决策有时并不比人类更谨慎。

Inside the OpenClaw Ecosystem: What Happens When AI Agents Get Credentials to Everything

为应对未来供应链威胁，Silverfort 已开源安全插件 ClawNet。该插件可在运行时拦截可疑安装行为，并利用 Agent 的语言模型在执行前扫描技能内容中的恶意模式（如数据外传、提示注入等）。