2026年2月，安全平台VirusTotal接连发布研究报告，揭露开源自托管AI Agent框架OpenClaw的Skills扩展体系已成为黑客供应链攻击的新阵地。这款可本地执行shell命令、文件操作、网络请求的AI工具，因未做沙箱隔离时风险覆盖整台设备，其灵活的第三方Skills扩展生态，正被黑客伪装成实用工具，投放木马、后门、信息窃取程序等恶意程序，甚至衍生出针对AI Agent本身的新型攻击手法。

OpenClaw的Skills是基于SKILL.md的轻量功能包，用户可从公共市场ClawHub一键安装，但其第三方代码拥有实际系统访问权限，且部分安装步骤引导用户执行终端命令、运行二进制文件，这一特性成为黑客的社会工程攻击载体。为此，VirusTotal在Code Insight功能中新增对OpenClaw Skills的原生支持，基于Gemini 3 Flash从安全视角分析其实际行为，突破传统杀毒引擎的检测局限。

截至报告发布，VirusTotal已分析超3016个OpenClaw Skills，数百个存在恶意特征，一类是开发环节的安全缺陷，另一类是黑客故意设计的恶意程序。其中ClawHub用户hightower6eu发布的314个Skills均为恶意，覆盖财经、加密分析等场景，均要求用户从非可信源下载执行外部代码，其发布的Yahoo Finance Skills更是针对Windows和macOS分别投放加壳木马与Atomic Stealer信息窃取木马，实现敏感数据盗取。

此外，黑客还衍生出五大核心攻击手法，实现对设备和AI Agent的多层控制：通过执行劫持在设备建立反弹Shell实现远程代码执行；利用LLM特性打造语义蠕虫，让AI Agent成为恶意程序分发节点；通过命令链注入SSH公钥，实现对设备的持久化控制；静默采集.env文件敏感密钥并随正常网络流量泄露；向AI Agent的持久化上下文文件植入恶意内容，打造“认知根工具”永久篡改Agent行为，且传统检测手段难以发现。

针对这一安全危机，VirusTotal给出分层防护方案。普通用户需将Skills文件夹设为可信边界，沙箱运行Agent，拒绝执行可疑安装命令，扫描后再安装社区Skills，同时保护Agent上下文文件、避免.env存储敏感密钥；平台方则要在Skills发布阶段开展自动化扫描，要求开发者提供代码溯源证明，建立安全评级体系，采用默认拒绝的网络出口策略并记录所有操作。

事实上，这些攻击均是经典网络攻击手法在AI Agent生态的重新包装，核心利用了生态的便捷性与用户的信任。目前AI Agent生态仍处早期，其未来能否避免沦为恶意软件重灾区，关键在于落实权限隔离、安全默认设置、常态化审计等基础防护措施。据悉，VirusTotal已计划与OpenClaw开发者合作，将安全检测整合进Skills发布审核流程，推动安全防护与技术创新同步发展。