想像你走進一間 App Store，裡面有 5,000 個應用程式。你隨手下載了一個「天氣助手」。

它能用。畫面漂亮，功能正常。

但它同時把你電腦裡的密碼、SSH 金鑰、加密貨幣錢包、瀏覽器儲存的信用卡資料，全部打包壓縮，悄悄傳到了攻擊者的伺服器。

這不是假設。這是 2026 年 1 月底，一個叫 ClawHub 的 AI 外掛商店裡真實發生的事。

而且不只是一個假冒的天氣助手。研究人員最終確認：商店裡每 5 個外掛，就有 1 個是惡意的。

ClawHub 是什麼

先說背景。OpenClaw 是 2026 年初最火爆的開源 AI 助手之一，GitHub 上超過 16 萬顆星。它能幫你管檔案、跑終端指令、查 API、自動化各種工作流程。

ClawHub 就是它的官方外掛商店——類似 Chrome 的擴充功能商店或 VS Code 的 Marketplace。開發者可以上傳「Skills」（技能包），其他使用者一鍵安裝就能擴展 AI 助手的能力。

問題是：任何人只要有一個超過一週的 GitHub 帳號，就能上傳外掛。沒有程式碼審查，沒有安全掃描，什麼都沒有。

72 小時內發生了什麼

1 月 27 日——第一個惡意外掛悄悄出現在 ClawHub 上，沒有人注意到。

1 月 31 日——上傳量暴增。一個叫 hightower6eu 的帳號開始瘋狂上傳，最終這個帳號一個人就傳了 677 個惡意套件。另外 6 個攻擊者同步上傳，第一波合計 386 個。

2 月 1 日——安全公司 Koi Security 的研究員 Oren Yomtov 把整個 ClawHub 的 2,857 個外掛全部掃了一遍。結果：341 個是惡意的，其中 335 個屬於同一個攻擊行動。 他把這個行動命名為 ClawHavoc（來源）。

2 月 5 日——中國的安天 CERT 把範圍擴大到 12 個發布者帳號，確認了 1,184 個惡意套件。他們把這個惡意軟體家族分類為 Trojan/OpenClaw.PolySkill（來源）。

短短幾天內，商店裡大約每 5 個外掛就有 1 個是木馬。而在這些外掛被移除前，它們已經被下載了數千次。

它們怎麼騙人的

這些惡意外掛不是粗製濫造的。它們有專業的名字：solana-wallet-tracker、youtube-summarize-pro、calendar-sync-pro、file-manager-plus。名字都是使用者真的會去搜尋的東西。

文件也寫得很用心。SKILL.md 長達好幾百行，看起來像正經的開源專案。

陷阱藏在「前置條件」區塊。

文件裡會寫：「在使用本外掛前，請先安裝必要的依賴項目。」然後給你一條終端指令讓你複製貼上。在 macOS 上，它會叫你去一個叫 glot.io 的網站複製安裝腳本，貼到 Terminal 裡執行。在 Windows 上，它會叫你下載一個叫 openclaw-agent.zip 的檔案。

研究人員把這種手法叫做 ClickFix 2.0。傳統的 ClickFix 是在網頁上騙你複製指令。升級版是把欺騙指令藏在 AI 助手的外掛文件裡，讓 AI 本身 成為那個「值得信任的中間人」——AI 讀了文件，認為這是正常的安裝流程，然後在對話框中引導使用者執行。

使用者心想：「AI 叫我裝的，應該沒問題吧。」

它們偷了什麼

根據安天 CERT 和 Trend Micro 的分析，被偷的東西包括（來源）：

• 瀏覽器密碼、Cookie、自動填入資料、儲存的信用卡（涵蓋 19 種瀏覽器）
• macOS 的 Keychain（你的 Wi-Fi 密碼、網站密碼、憑證全部在這裡）
• SSH 私鑰
• 加密貨幣錢包
• Telegram 的 session 資料
• OpenClaw 自己的 .env 設定檔（裡面存著付費 AI 服務的 API 金鑰）
• 桌面、下載、文件資料夾中的 txt、md、csv、json、doc、xlsx、pdf 檔案
• KeePass 的密碼庫檔案（.kdbx）

macOS 上使用的是 Atomic macOS Stealer（AMOS） 的升級變種——一種專門針對 Apple 使用者的商業惡意軟體，由一個叫 Cookie Spider 的犯罪組織以服務形式出租。

為什麼報了也沒用

安全研究員 Paul McCarty 在 2 月初就發現了 386 個惡意外掛，並且多次聯繫了 OpenClaw 的開發者 Peter Steinberger。根據報導，得到的回覆是：「太忙了，沒空處理。」（來源）

從第一個惡意外掛出現到正式回應，中間隔了整整一個星期。在這段時間裡，下載量持續增長，感染持續擴散。

OpenClaw 後來和 VirusTotal 合作，對所有上傳的外掛進行掃描。也發布了安全更新。但安全分析師指出一個根本問題：靜態掃描抓不到 prompt injection 和動態載入的內容。

事後清理完成後，ClawHub 的外掛數量從高峰時的 5,000 多個縮減到了約 3,498 個。也就是說，被移除的數量超過了保留的數量的一半。

Microsoft 怎麼看

Microsoft Defender 安全研究團隊直接發布了公告：

「OpenClaw 應該被視為不受信任的程式碼執行環境，附帶持久性憑證。它不適合在標準的個人或企業工作站上運行。」（來源）

如果你的組織必須評估 OpenClaw，Microsoft 建議只在完全隔離的虛擬機中部署，永遠不要在生產環境的工作站上直接安裝。

Bitdefender 的遙測數據顯示，企業環境中已經有大量員工自行安裝 OpenClaw，這些安裝沒有經過任何 IT 部門的審批。這就是所謂的 Shadow AI——影子 AI，跟十年前的影子 IT 一模一樣的劇本，只是風險更大（來源）。

這件事教會我們什麼

Palo Alto Networks 引用了安全研究員 Simon Willison 的一個概念：AI Agent 的**「致命三角」**——

1. 能存取私密資料（檔案、密碼、API 金鑰）
2. 會處理不受信任的內容（外掛、使用者輸入、網頁內容）
3. 能對外通訊（HTTP 請求、WebSocket、外部 API 呼叫）

當這三個條件同時滿足時，一個 prompt injection 就等於一次完整的系統入侵。不需要惡意程式的二進位執行檔，不需要漏洞利用程式碼。只需要一段被模型解讀為指令的文字。

ClawHavoc 證明了：當 AI Agent 的外掛生態系統沒有安全閘門時，攻擊者不需要找到零日漏洞。他們只需要上傳一個外掛，然後等使用者安裝。

你現在應該做什麼

如果你正在使用任何 AI Agent（不只是 OpenClaw）：

把每個外掛都當成可執行檔來對待。 你不會從不明來源下載 .exe 然後直接雙擊。對 AI 外掛也該有同樣的警覺。

不要讓 AI Agent 用你的主帳號跑。 給它一個最小權限的獨立環境。如果它被入侵了，爆炸半徑要可控。

文件裡叫你複製貼上的終端指令，先讀再貼。 如果文件叫你去某個網站下載腳本然後直接在 Terminal 裡跑，那就是紅旗。

定期檢查已安裝的外掛。 你上個月裝的那個「生產力工具」外掛，它在背景做了什麼，你確定你知道嗎？

參考資料

• The Hacker News - Researchers Find 341 Malicious ClawHub Skills
• Antiy CERT - ClawHavoc Analysis
• Trend Micro - Malicious OpenClaw Skills Used to Distribute AMOS
• Bitdefender - Technical Advisory: OpenClaw Exploitation
• The Hacker News - ClawJacked Flaw
• Termdock - ClawHub Incident Postmortem