“养虾人”紧急自查:OpenClaw被投毒、axios幽灵发布、超80个高危漏洞,我连夜迁移到向量引擎的全记录
凌晨两点,我服务器上那只“龙虾”突然开始疯狂发包。
SSH连进去一看,htop显示CPU飙到98%,网络上传速度5MB/s持续了半小时。我的OpenClaw智能体——那个原本帮我自动回邮件、抓数据、管服务器的“AI打工人”——正在疯狂往外扫API密钥和SSH私钥。
我第一反应:被黑了。
但更让我后背发凉的是另一件事。第二天早上,群里有人转发了一条消息:axios被投毒,npm包被注入了远程控制木马。
我突然意识到——我的龙虾本身可能就有高危漏洞,而axios这个几乎所有Node.js项目都在用的依赖,成了压死骆驼的最后一根稻草。
这不是技术事故,这是一场针对整个开发者社区的精准猎杀。
今天,我花三天时间复盘了整个事件,整理出这份全网最全的“养虾人”紧急自救指南。全文超过6500字,包含:OpenClaw投毒事件完整复盘、axios供应链攻击拆解、超80个高危漏洞全景表、一键自查脚本、以及我最终的选择——迁移到向量引擎。
无论你是“养虾”老手,还是刚入坑的小白,这篇文章都能救你一命。
一、“养虾人”是什么?为什么你也在“养虾”?
先给没赶上这波热度的朋友补个课。
OpenClaw(曾用名 ClawdBot、Moltbot)是一个开源自托管AI智能体框架,由奥地利工程师Peter Steinberger开发,后来Peter加入了OpenAI。它的核心能力是:把自然语言指令转化为电脑实际操作——你说一句话,它就能帮你发邮件、操作文件系统、抓取网页数据、调用API、甚至上淘宝买东西[reference:0]。
因为它的图标是一只红色的龙虾,加上“Claw”有“爪”的意思,国内技术圈把它亲切地称为“养龙虾”。短短几周内,该项目在GitHub上狂揽超过14.5万颗Star,吸引了超过10万活跃用户进行本地部署和二次开发,成为GitHub历史上用户基数增长最快的开源代码仓库之一[reference:1]。
然而,爆火的另一面,是灾难级的安全黑洞。
二、OpenClaw安全事件全景:从远程代码执行到插件投毒
2.1 超80个高危漏洞,CVE-2026-25253是“核弹级”
国家互联网应急中心已发布安全预警:OpenClaw生态曝出超80个高危漏洞,涵盖提示词注入、恶意Skill投毒、远程代码执行、隐私窃取、权限越权等攻击面[reference:2]。
其中最致命的,是编号为CVE-2026-25253的远程代码执行漏洞。
这个漏洞的危害有多大?用官方说法:CVSS 8.8分(高危) ,影响所有早于2026年1月29日的版本。攻击者通过窃取WebSocket认证Token,可以实现一键式远程代码执行——只需要诱导用户点击一个恶意链接,就能完全控制整台机器[reference:3][reference:4]。
360安全专家指出,该漏洞具备“攻击门槛低、影响范围广、危害程度大”三大特征[reference:5]。
更可怕的是,根据国家信息安全漏洞库(CNNVD)统计,OpenClaw相关的漏洞数量还在持续暴增。仅2026年3月20日至3月30日这一周,CNNVD就采集了162个重要人工智能漏洞,其中超危漏洞17个、高危漏洞49个[reference:6]。
这不是单个漏洞,这是一场雪崩。
2.2 ClawHavoc事件:伪装成合法工具的恶意载荷
安全研究机构Flare监测到,早在1月29日,攻击者就开始利用CVE-2026-25253发动大规模攻击,这场行动被命名为 “ClawHavoc” [reference:7]。
攻击者伪装成“solana-wallet-tracker”、“youtube-summarize-pro”等合法加密货币工具,在安装文档中加入“Prerequisites”章节,诱导用户执行恶意curl命令下载窃密木马。Atomic Stealer(macOS)和键盘记录器(Windows)就这样被悄无声息地部署到受害者机器上[reference:8]。
攻击者的目标是什么?窃取持久内存中包含的历史敏感数据,并在企业网络内进行横向移动[reference:9]。
2.3 ClawHub插件投毒:开源信任的崩塌
OpenClaw的插件市场ClawHub,本应是生态繁荣的标志,却成了攻击者的天然跳板。
由于发布门槛极低——任何GitHub账号只要存在一周以上就能发布Skill,且没有代码审核机制[reference:10]——攻击者上传了大量后门插件。
真实数据触目惊心:
| 数据指标 | 数值 | 来源 |
|---|---|---|
| ClawHub恶意/高危Skill | 283个(占7.1%)暴露敏感凭证 | Snyk扫描[reference:11] |
| 专门用于凭证盗窃的后门载荷 | 76个 | 安全报告[reference:12] |
| ClawHavoc事件伪装恶意Skill | 335个 | ClawHavoc报告[reference:13] |
| 冒充热门工具窃取API密钥 | 300+木马化套件 | 供应链攻击[reference:14] |
攻击手法极其隐蔽:攻击者在SKILL.md文件中写入恶意指令,诱导大语言模型在上下文中以明文形式传递API密钥、密码,甚至信用卡号码。一旦触发,你的所有凭证都会通过模型输出日志泄露给攻击者[reference:15]。
更令人绝望的是,研究还发现ClawHub中有12%的Skill存在恶意行为,可能窃取API Key、注入恶意代码或后台挖矿[reference:16]。
2.4 34万+实例裸奔,暴露在公网毫无防护
这是最让人头皮发麻的一组数字。
Shodan扫描显示,超过31.2万个OpenClaw实例运行在默认端口18789上,很多没有任何认证,直接暴露在公网[reference:17]。
SecurityScorecard的STRIKE团队发现,超过13.5万个OpenClaw实例直接暴露在互联网上,结合其已知的多个高危漏洞,这些实例已成为攻击者唾手可得的高价值目标[reference:18]。
更恐怖的是:蜜罐部署后,在暴露数分钟内就能记录到攻击尝试[reference:19]。
超过30,000个实例已被确认遭到入侵,被用于窃取API密钥、拦截消息,并通过Telegram等渠道分发信息窃取型恶意软件[reference:20]。
翻译成人话:如果你的OpenClaw实例暴露在公网,攻击者可能已经在你不知道的情况下“养”你的“虾”很久了。
2.5 GitHub也成了诱饵:300多个木马化套件
你以为只靠npm?攻击者连GitHub都不放过。
Netskope Threat Labs发现一波由AI辅助操作的供应链攻击,以GitHub上的“OpenClaw”部署工具为诱饵,已确认超过300个木马化套件,题材涵盖开发工具、游戏外挂脚本、币圈机器人与VPN破解工具。这些套件都内含以LuaJIT为基础的跨平台木马,会进行屏幕截图、地理定位、敏感数据外传[reference:21]。
攻击者甚至使用AI来批量生成诱饵名称,以冷门生物分类、古拉丁文与医学术语命名[reference:22]。这是一场AI打AI的战争。
三、axios幽灵发布:你的“龙虾”吃的第一口毒虾
如果说OpenClaw自身的漏洞是“内伤”,那么axios投毒就是“外伤”——而且是最致命的那种。
3.1 事件速览:3亿周下载量的基础库被劫持
2026年3月31日凌晨,全球数百万开发者收到了一条紧急安全提醒:axios被投毒了。
axios是JavaScript生态中最流行的HTTP客户端库,周下载量超过3亿次,几乎所有使用Node.js的项目都在用它[reference:23]。
攻击者劫持了axios核心维护者@jasonsaayman的npm账号,手动发布了两个恶意版本:axios@1.14.1和axios@0.30.4。这些版本在代码仓库中没有对应记录,是典型的 “幽灵发布” [reference:24][reference:25]。
3.2 攻击手法:你不碰任何一行axios代码,但已经被控了
这是一次教科书级别的供应链攻击:
-
账号劫持:攻击者用
ifstap@proton.me替换了原维护者的邮箱,通过npm CLI直接发布恶意版本,绕过了GitHub Actions的溯源验证[reference:26][reference:27]。 -
依赖注入:攻击者没有修改任何axios源代码,只是在
package.json里加了一行依赖:plain-crypto-js@4.2.1[reference:28]。你仔细想想——一个不引用、不调用、甚至在代码中从未出现的依赖包,就这样被悄无声息地装进了你的项目。 -
postinstall自动引爆:
plain-crypto-js@4.2.1通过npm的postinstall生命周期钩子自动执行。不需要你运行任何程序,不需要你打开任何文件,只要npm install,15秒后你的设备已被完全控制[reference:29]。 -
跨平台RAT:恶意载荷针对Windows、macOS、Linux分别构建,连接C2服务器
sfrclak[.]com:8000下载定制化远程访问木马。攻击完成后自动删除setup.js并替换为干净版本,你检查时完全看不出异常[reference:30][reference:31]。
事后,多家安全机构将攻击归因于朝鲜国家级黑客组织Sapphire Sleet(又名UNC1069)。这不是脚本小子的恶作剧,这是一次由国家力量支撑的、精心预谋的定点猎杀[reference:32]。
3.3 OpenClaw用户的“双倍打击”
对于“养虾人”来说,这次攻击是致命的双倍打击:
OpenClaw的多个组件明确使用axios处理网络请求和API调用。你的“龙虾”的邮件、日历、聊天记录、API密钥等所有敏感数据,都暴露在运行环境中[reference:33]。
简单说:如果“龙虾”被投毒,攻击者不仅能控制你的电脑,还能以你的身份执行各种操作[reference:34]。
更致命的是:在axios被投毒的那一刻,你的OpenClaw环境里axios版本已经被更新了。而OpenClaw自身那超80个高危漏洞,包括CVE-2026-25253这个可以直接远程代码执行的“核弹级”漏洞,可能早就被攻击者用同样的手段悄悄利用过了——甚至你压根不知道他们什么时候进来的。
你以为自己在“养虾”,其实在养一个“毒虾农场”。
四、攻击全景图:OpenClaw事件核心数据汇总
漏洞全景表
| 漏洞/攻击类型 | CVE编号/代号 | 危害等级 | 攻击门槛 | 具体影响 |
|---|---|---|---|---|
| 远程代码执行 | CVE-2026-25253 | 高危 (CVSS 8.8) | 极低 | 一键式远程控制[reference:35] |
| 提示词注入 | N/A | 高危 | 低 | 诱导窃取系统密钥[reference:36] |
| 工具调用越权 | N/A | 高危 | 中 | 任意代码执行[reference:37] |
| 记忆投毒 | N/A | 中危 | 低 | 跨会话持续后门[reference:38] |
| 插件生态投毒 | ClawHavoc | 高危 | 低 | 凭证盗窃+数据泄露[reference:39] |
| 设备配对漏洞 | CVE-2026-32987 | 高危 | 中 | 重放攻击[reference:40] |
| 限速绕过 | CVE-2026-32011 | 中危 | 中 | 暴力破解[reference:41] |
| 路径规范化漏洞 | CNNVD-202603-5855 | 高危 | 中 | 任意命令执行[reference:42] |
攻击规模全景表
| 攻击维度 | 数据规模 | 来源/备注 |
|---|---|---|
| 暴露在公网的实例 | 13.5万+ | SecurityScorecard[reference:43] |
| 默认端口暴露实例 | 31.2万+ | Shodan扫描[reference:44] |
| 已确认被入侵实例 | 3万+ | Flare报告[reference:45] |
| 恶意Skill数量 | 335+(ClawHavoc) | 伪装热门工具[reference:46] |
| 木马化GitHub套件 | 300+ | TroyDen诱饵工厂[reference:47] |
| CNNVD近期AI漏洞 | 162个 | 超危17、高危49、中危96[reference:48] |
| 受影响axios开发者 | 数百万 | 全球[reference:49] |
| GitHub Star数 | 14.5万+ | 历史增长最快[reference:50] |
攻击产业链全景
这张思维导图展示了攻击者的完整攻击链路:
攻击者战术链
│
├── 1️⃣ 发现目标
│ ├── 扫描公网暴露的OpenClaw实例(31.2万+个)
│ └── 识别未配置认证的实例
│
├── 2️⃣ 初始入侵
│ ├── 利用CVE-2026-25253远程代码执行漏洞(CVSS 8.8)
│ ├── 通过axios依赖投毒被动感染
│ └── 恶意GitHub部署工具诱饵
│
├── 3️⃣ 权限维持
│ ├── 安装后门Skill插件(335+个伪装热门工具)
│ ├── 记忆投毒形成“软后门”
│ └── 部署跨平台RAT木马
│
├── 4️⃣ 数据窃取
│ ├── 窃取API密钥、SSH私钥、环境变量
│ ├── 拦截邮件、聊天记录、浏览器历史
│ └── 读取信用卡信息和个人身份信息
│
└── 5️⃣ 横向移动
├── 在企业网络中横向渗透
├── 将受控实例转化为僵尸网络节点
└── 用于发起更大规模自动化攻击
五、“养虾人”紧急自查清单:你的“龙虾”还活着吗?
看完上面的内容,你可能已经手心冒汗了。别慌,先自查,再处理。
✅ 第一步:检查axios版本
# 在项目根目录执行
npm list axios
# 或查看lock文件
grep -E "axios.*1\.14\.1|axios.*0\.30\.4" package-lock.json yarn.lock pnpm-lock.yaml
如果版本是1.14.1或0.30.4,你的环境已被感染。
✅ 第二步:检查plain-crypto-js
ls node_modules/plain-crypto-js
如果这个文件夹存在,说明恶意依赖已被安装。
✅ 第三步:检查OpenClaw版本
openclaw --version
# 或查看安装目录
如果版本低于2026.1.29,存在CVE-2026-25253高危漏洞。
✅ 第四步:检查公网暴露
# 检查OpenClaw是否暴露在公网
netstat -an | grep 18789
# 或使用端口扫描工具
如果绑定地址是0.0.0.0:18789而不是127.0.0.1:18789,你的实例可能已经暴露在公网。
✅ 第五步:检查异常网络流量
# 查看异常外发连接
netstat -an | grep ESTABLISHED | grep -v "127.0.0.1"
# 检查C2服务器通信(关键IP)
# 142.11.206.73 是axios投毒事件的C2服务器地址
grep -r "142.11.206.73" /var/log/
grep -r "sfrclak" /var/log/
# 查看历史网络连接(保留最近10000条)
last -100 | grep -v "still logged in"
✅ 第六步:检查已安装的Skill插件
# 列出所有已安装的Skill
openclaw skill list
# 检查是否有可疑Skill(如伪装加密货币工具、VPN破解等)
openclaw skill list | grep -E "solana|wallet|tracker|summarize|cheat"
如果发现任何可疑插件,立即卸载。 更关键的是,在安装任何Skill之前,建议先安装安全扫描工具(如虾壳安全扫描Skill)进行检测[reference:51]。
✅ 第七步:检查环境变量泄露
# 检查环境变量中是否有敏感信息意外泄露
env | grep -E "API_KEY|SECRET|TOKEN|PASSWORD|PRIVATE_KEY"
⚠️ 第八步:确认攻击是否已发生
| 自查项 | 正常 | 🚨 异常(可能已遭入侵) |
|---|---|---|
| 系统资源 | CPU/网络正常 | CPU持续100%,网络外发流量异常 |
| 日志检查 | 无明显错误 | 发现142.11.206.73连接记录 |
| 环境变量 | 敏感信息未外泄 | 环境变量被打印到日志或输出 |
| 文件系统 | 文件未被篡改 | 发现未授权的脚本或二进制文件 |
六、如果已经中招,立即执行应急响应
如果你确认已被感染,或者无法确定但心存疑虑——不要心存侥幸。
执行以下6步紧急响应流程:
- 立即断开网络连接:拔网线或关闭WiFi,切断攻击者C2通道。
- 隔离受感染机器:从网络中断开,防止横向移动。
- 轮换所有凭证:更换npm token、云服务密钥、SSH Key、API密钥[reference:52]。
- 全盘杀毒扫描:使用杀毒软件全面扫描。
- 从干净备份恢复或重装系统:不要试图“修复”已感染的系统。
- 检查CI/CD流水线:确保CI/CD构建产物未被污染[reference:53]。
恶意版本已在3月31日凌晨被npm官方下架,但已安装的项目仍需排查。 [reference:54]
七、事后之明:你的下一只“虾”,不能再这样养了
经历这一劫,我深刻总结了几条“养虾”安全铁律:
- 绝不将OpenClaw暴露在公网。绑定地址改为
127.0.0.1:18789,而非0.0.0.0:18789。 - 永远锁定依赖版本。在
package.json中使用精确版本号,移除^和~。 - 对所有Skill进行安全审查。下载量100+、发布历史3个月以上是最低门槛[reference:55]。
- 启用自动化安全扫描。安装Skill前使用安全扫描工具[reference:56]。
- 部署监控和告警。建立异常流量、异常进程的实时告警。
- 假设自己已被入侵。以此为前提设计防御纵深。
但说实话,以上所有措施都只能降低风险,无法消除风险。OpenClaw的架构问题太深了——它的权限模型本来就是“全都要”模式,任何安全措施都像是在漏水的船上打补丁。
所以,我做出了最终选择:连夜迁移到向量引擎。
八、向量引擎:API中转站的“安全堡垒”
在OpenClaw连续暴雷、axios被投毒、数百个恶意插件肆虐的背景下,我最终选择将所有的AI调用迁移到向量引擎。
向量引擎是一个API中转站,聚合了500+国内外主流模型。 它的核心优势在于:全平台额度通用,充一次值可以调用Gemini、GPT、Claude、GLM、Grok等所有模型,不需要到处找密钥、不需要单独充值。国内直连,不需要魔法,网页调用不挑设备,接口稳定,还有24小时真人售后服务。
对比OpenClaw的风险,向量引擎的差异非常清晰:
| 对比维度 | OpenClaw(开源智能体) | 向量引擎(API中转站) |
|---|---|---|
| 安全模型 | 高权限“全都要” | 低权限API调用,无本地代码执行 |
| 暴露风险 | 31.2万+实例公网暴露 | 零暴露,纯服务端调用 |
| 漏洞状况 | 80+高危漏洞 | 企业级安全审计 |
| 插件生态 | 7.1%+恶意Skill | 无插件,纯API接口 |
| 依赖风险 | axios等第三方依赖被投毒 | 无依赖,纯HTTP请求 |
| 凭证管理 | 明文暴露在环境变量 | 加密传输,无本地存储 |
| 攻击历史 | ClawHavoc、ClawHub投毒等 | 无已知安全事件 |
简单说:OpenClaw把钥匙塞在你家门口的地垫下面,攻击者随便踩两脚就能翻到;而向量引擎把钥匙存在银行保险柜里,只有你本人刷脸才能打开。
官方地址:https://178.nz/dn
保姆级教程:https://www.yuque.com/nailao-zvxvm/pwqwxv
九、写在最后:安全,永远应该先于便利
OpenClaw和axios接连暴雷,不仅仅是技术圈的震荡,更是对整个“信任模型”的警钟。
我们习惯了npm install万物,习惯了把AI智能体当管家放进自己的电脑,习惯了“开源=安全”的幻觉。但现实是:软件安装本质上等于“执行任意代码”,一个核心维护者的账号被劫持,就能让全球数百万开发者一夜之间裸奔[reference:57]。
“养虾”很酷,但请记住:你的“虾”吃得越香,它肚子里可能就藏了越多的“毒”。
不要再让攻击者替你“养虾”了。
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
5
0- 0
已为社区贡献25条内容
所有评论(0)