(问题)随着智能体应用加速落地,面向开发者与用户的“技能/插件”集市成为生态扩张的重要入口。近期,安全研究团队对OpenClaw智能体生态系统的公共技能注册平台ClawHub进行评估时发现,平台存可被滥用的关键漏洞:攻击者能够人为抬高特定技能的下载量指标,进而影响搜索排序和曝光位置,使恶意技能更易进入用户与智能体的安装链路,形成典型的供应链攻击切入点。 (原因)研究人员介绍,问题出在平台后端基于convex框架的实现配置。该框架采用类型化远程过程调用(RPC)模型,要求开发者明确区分后端函数为内部调用或对外公开接口。此次事件中,用于统计下载量的“increment”有关函数被误设为可公开调用,导致原本应由鉴权、校验、限流等环节保护的计数逻辑暴露在外。攻击者仅需向暴露的部署地址发送包含有效技能标识符的请求,即可在缺乏认证、速率限制和重复请求去重机制的情况下不断触发接口——实现下载量的“无限累加”——从而对榜单与搜索结果产生直接影响。 (影响)为验证漏洞危害,研究人员构造了概念验证攻击链:发布一款外观上类似企业常用集成工具的技能,在功能描述中强调“连接邮件与日程”等合规用途,并在内部隐藏伪装成遥测的外传载荷。随后,通过对公开RPC端点发起高频请求,该技能的下载量短时间内被推至高位并出现在搜索前列。据研究人员统计,在持续数日的测试窗口内,该技能在全球多个城市被执行数千次,触达部分企业环境。载荷能够收集并回传用户名、域名等信息,研究人员据此判断,若遭真实攻击者利用,深入窃取运行环境变量、内存中的令牌信息或本地文件并非难事。业内人士指出,相较传统软件供应链风险,智能体生态的扩散更具“自动化”特征:当智能体依据搜索排名、下载量等“社会证明”自主选择安装并执行技能时,攻击面会从“诱导用户点击”扩大为“诱导系统自动接入”,风险放大效应更为明显。 (对策)研究团队称,已于2026年3月16日将漏洞情况通报平台运营方,OpenClaw团队在24小时内完成修复。事件也暴露出新型开发与运营模式下的薄弱环节:一是后端接口的访问控制边界不清,易出现“本应内部调用却被公开”的配置错误;二是增长指标(下载量、排名、评分)缺乏抗滥用设计,导致攻击者可用低成本手段操纵分发渠道;三是平台治理与运行时防护不足,技能在安装与执行阶段的风险识别仍偏依赖静态审核或事后处置。研究团队同时发布了面向生态的开源安全插件ClawNet,主张在运行时对安装行为进行拦截与检查,并在执行前对技能内容进行风险模式扫描,为生态补齐“最后一道门”。 (前景)多位安全从业者认为,智能体技能平台正逐步成为数字供应链的新节点,其安全治理需要从“应用商店式管理”升级为“自动化系统供应链管理”。下一步,平台应在三上加快建设:其一,强化接口最小暴露原则与默认拒绝策略,将关键计数、权限、分发逻辑纳入统一鉴权与审计;其二,引入反作弊与反滥用机制,对异常增长、批量请求、跨地域突增等信号进行建模与处置;其三,完善“安装—执行—外联”全过程监测,对敏感权限、数据外传、异常网络连接实施分级授权与可追溯审计。同时,企业用户也需调整使用习惯,对可执行技能建立白名单与审批流程,避免将排行与下载量等指标作为唯一信任依据。
此次事件表明——在智能体生态中——影响排名的指标不仅关系用户体验,更涉及安全边界;平台需要加强技术防护的同时,用户也应保持警惕,以最小信任原则对待外部技能,确保新技术应用在快速发展中保持安全可控。