ClawHub关键漏洞曝光：攻击者可无限刷下载量操纵OpenClaw技能排名，实现大规模供应链攻击

安全研究团队在OpenClaw智能体生态系统的公共skills注册平台ClawHub中发现了一个严重漏洞。该漏洞允许攻击者人为虚增恶意skills的下载量绕过平台安全检查并操纵搜索排名。通过将受感染skill推至榜首威胁行为者能够对人类用户和自主AI Agent发起高效的大规模供应链攻击。漏洞技术原理Convex框架配置失误该漏洞根源在于ClawHub后端使用的Convex框架实现缺陷。Convex采用类型化远程过程调用RPC模型开发者需明确将后端函数定义为内部私有或公开接口。研究人员发现downloads:increment函数被错误配置为公开可调用而非内部私有函数。这一配置错误导致所有验证层认证、速率限制、去重机制被完全绕过。攻击者只需向暴露的部署URL发送包含有效skill标识符的未认证curl请求即可无限触发端点任意增加目标skill的下载量指标。攻击链演示与实际影响为验证危害研究人员构造了真实PoC供应链攻击发布一个伪装成“Outlook Graph Integration”的合法skill隐藏伪装成遥测功能的数据外传载荷。通过滥用暴露的RPC端点向后台数据库发送海量请求使恶意skill瞬间登顶ClawHub搜索结果请求超2万次下载。该skill成功欺骗了搜索日历工具的人类用户和OpenClaw自主Agent。六天内该skill在全球50个城市被执行达3900次渗透多家上市公司。载荷暗中窃取用户名、域名等信息证明真实攻击者可轻易获取Agent执行环境中的变量、内存令牌或本地文件。修复进展与安全启示Silverfort团队于2026年3月16日向OpenClaw负责任披露漏洞开发团队在24小时内完成修复。此次事件揭示了“氛围编程”vibe coding快速开发模式下的安全风险以及AI Agent仅凭社交证明下载量、排名自主安装决策的危险性。为应对未来AI Agent供应链威胁Silverfort已发布开源安全插件ClawNet可在运行时拦截安装行为利用Agent语言模型在执行前扫描skill内容中的恶意模式。