12% 的市集是毒藥：ClawHub 供應鏈攻擊與「無審查市集」的代價

快速摘要：2026 年 1–2 月，爆紅 AI agent OpenClaw 的 skill 市集 ClawHub 被植入上千個惡意外掛（單次稽核 341 個、佔當時 11.9%），偽裝成加密貨幣工具偷錢包與金鑰。整場攻擊沒用任何 0-day——根因是市集零審查 + 高權限 agent + 社交工程。文末檢驗 fibon 的 Skill 匯入三閘門擋不擋得住這個故障類型。

可略過，如果：你不裝任何第三方 AI agent 外掛、也不經營外掛市集。

一個讓人發冷的數字

2026 年 2 月 1 日，資安公司 Koi Security 的研究員 Oren Yomtov 做了一件諷刺的事：他用 OpenClaw 自己的 bot，去稽核 OpenClaw 官方 skill 市集 ClawHub 上的每一個 skill。當時市集約 2,857 個外掛，掃完發現 341 個是惡意的——佔整個市集的 11.9%，其中 335 個來自同一個協同攻擊行動，後來被命名為 ClawHavoc。

換句話說，你去這個市集隨手裝一個外掛，大約每八九個就有一個會偷你的東西。

事情的全貌比這個快照更難看。OpenClaw（原名 Clawdbot，因商標問題先後改名 Moltbot、OpenClaw）在 1 月底數日內衝上數萬 GitHub star，市集規模也隨之灌水。到 2 月 16 日 Koi 回頭再掃，市集已膨脹到逾 10,700 個 skill，惡意數翻倍到 824 個。而中國資安團隊 Antiy Labs 用「歷史累計」口徑統計到 2 月 5 日，總共有 1,184 個惡意 skill、出自 12 個作者 ID。

攻擊怎麼運作：沒有 0-day，只有社交工程

最值得記住的一點：這整場攻擊沒有用到任何軟體漏洞。

惡意 skill 偽裝成正常工具——Solana 錢包追蹤器、YouTube 摘要工具、Polymarket 交易機器人——而且文件做得極專業（Antiy 觀察到許多 README 長達 500–700 行，疑似 AI 自動生成來增加可信度）。惡意指令藏在「Prerequisites」或「Setup」段落，宣稱你得先裝一個「helper tool」才能用這個 skill。

接下來就是經典的 ClickFix 社交工程：

在 Windows 上，它叫你從 GitHub 下載一個有密碼的 ZIP（密碼常是 openclaw、1234）——密碼保護是為了讓防毒軟體掃不進加密檔內——裡面是加殼的 infostealer 加 keylogger。在 macOS 上，它叫你複製貼上一段 terminal 指令，從 glot.io 之類的貼文站抓一段 base64 編碼的 shell 指令，解碼後 curl 下載最終 payload：Atomic macOS Stealer（AMOS），一個在 Telegram 上月租 500–1000 美元的成熟竊密工具，目標是 Keychain 密碼、瀏覽器資料、60 多種加密貨幣錢包、Telegram session、SSH key。

根因：上架的唯一門檻是「GitHub 帳號滿一週」

把災情放大到上千個惡意 skill 的，不是某個高深漏洞，而是一個治理層的空洞：

ClawHub 上架一個 skill 的唯一限制，是你的 GitHub 帳號要滿一週。 沒有 code review、沒有自動掃描、沒有人工審核、沒有沙盒。任何人都能發布任何東西。1 月 31 日單日就有 7 名攻擊者投放了 386 個惡意 skill，其中一個人一天就丟了 354 個。

這呼應了我在這個專案裡反覆講的一句話：安全不能靠善意，要靠工程邊界。 一個開放上傳的市集，如果把「審查」這道工序整個省掉，那它本質上就是個惡意軟體的免費託管平台——只是剛好掛著「AI skill 市集」的招牌。

OpenClaw 事後的補救（2 月 8 日宣布整合 VirusTotal 每日掃描、加上用戶檢舉達三人自動隱藏）方向是對的，但這是事後補閘門。官方自己也坦承 VirusTotal「不是銀彈」——巧妙隱藏的 prompt injection payload 仍可能漏掉。

對 fibon 的意義

這題是 fibon 設計的正面對照——因為 fibon 的 Skill 匯入機制（第 4 章詳述的 ADR-010）就是專門針對這個故障類型蓋的，而且蓋的時候就假設市集是不可信的。三道閘門：

第一道是靜態掃描，同步、免費、不可繞過。任何匯入的 skill 先過一輪正規表達式掃描——程式碼層抓 child_process、eval、fs.rm、exec、process.env、fetch 等 11 條危險樣式；文字層抓「忽略前面指令」「系統提示外洩」「零寬字元」等 prompt injection 樣式——然後分三級嚴重度。ClawHavoc 那種「叫你跑 curl 抓 payload」「讀 .env 外洩憑證」的 skill，正是這道閘門的目標。

第二道是AI 審查，用 LLM 做惡意意圖判讀與契約抽取，由用戶主動觸發、扣預算。第三道是人工批准——skill 真正寫進工具註冊表前，要人點頭。

更根本的一層防線在架構：就算一個惡意 skill 真的混進來執行了，fibon 跑不可信代碼的 Worker 被關在隔離的 Docker 網路裡（第 6 章），設計目標白紙黑字寫著「即使被攻破也無法觸及 API Key 或資料庫」。ClawHavoc 的 payload 在那種隔離下，能偷的東西遠少於它在一台開發者主機上的全權限肆虐。

但這場攻擊真正給所有人的教訓，跟程式碼無關：AI agent 的 skill / 外掛 / MCP 工具，本質是一段會被你的 agent 用高權限執行的「可信指令」。 你裝一個 skill，等於授權一段陌生代碼以你 agent 的身分行動。市集的便利性掩蓋了這件事的危險性——而便利性正是攻擊者的入口。在裝任何第三方 AI 外掛前，問一句：這個市集的上架門檻是什麼？如果答案是「GitHub 帳號滿一週」，那你面對的不是市集，是一個沒人看門的倉庫。