一、关于OpenClaw存在远程代码执行漏洞的风险预警

2026年1月30日，OpenClaw修复了此前被披露的严重漏洞（CVE-2026-25253）。该漏洞源于控制UI对URL查询字符串中gatewayUrl参数的过度信任，允许攻击者通过恶意链接实现跨站WebSocket劫持，进而窃取API令牌、执行任意命令。该漏洞影响范围为OpenClaw版本大于等于2026.1.28的版本。

二、关于OpenClaw开源生态Skills模块风险的情况通报

（一）基本情况

近期，开源个人AI代理生态系统OpenClaw成为恶意软件攻击的新目标。攻击者通过其Skills模块（技能插件）市场ClawHub，批量上传伪装成合法工具的恶意“Skills”，诱导用户安装，进而在用户系统中下载并执行恶意代码，属于一种供应链攻击。其Skills模块作为生态核心组成部分，支持深度接入数十个办公及社交平台，用户可通过相关平台便捷获取与安装。目前已衍生出数千种各类Skills，涵盖自动化办公、加密货币工具、社交媒体辅助等多个场景，初步形成了自组织、快速演化的开源生态。

2026年2月初，安全团队Koi Security 在ClawHub平台上发现大量恶意Skills集中植入,被研究人员归类为“ClawHavoc”攻击行动。该平台作为OpenClaw的核心Skills分发渠道之一，其中的Skills一直在更新，目前，ClawHub平台中部分恶意Skills已无法搜索到，推测平台运营方已开始对其进行下架处理。目前，ClawHub平台中包含3498个Skills，历史Skills包中存在1180个恶意的，其中作者ID为hightower6eu的恶意包已新增至677个。

随着生态规模快速扩张，“ClawHavoc”类攻击已成为OpenClaw生态最突出、最紧迫的安全挑战。恶意Skills通过伪装隐蔽、诱导传播等方式窃取用户敏感数据、接管系统权限，形成规模化攻击态势，不仅威胁用户合法权益，也制约着OpenClaw开源生态的健康与可持续发展，亟需展开专项风险剖析与防控。

（二）研判分析

OpenClaw 作为支持功能扩展的 AI 代理框架，其 Skills 扩展包可通过 ClawHub 市场便捷安装，而Skills本质上是一组“以结构化文件组织起来的插件/能力包”，具体内容包括配置、代码、资源、元数据，因此具备数据与代码双重特性，但现阶段AI智能体还无法准确区分，这一特性天然存在安全隐患 —— 攻击者可利用 Skills 的开放扩展机制，制作伪装成正常功能的恶意技能包并上架 ClawHub，诱导用户下载安装；这类恶意技能包通常会在 SKILL.md 说明文件或配套脚本中，植入要求用户执行终端命令、下载运行未知二进制文件的 “虚假安装步骤”，借助社会工程学手段骗取用户信任并执行高危操作，一旦用户照做，恶意代码将凭借技能包的系统访问权限直接侵入主机，最终实现对用户系统的控制、数据窃取或恶意程序植入，形成完整的攻击链路。

 （信息服务中心 2026年2月13日）