2026年以来，OpenClaw 的插件市场（ClawHub）中恶意 skills 激增。原因是 ClawHub 允许任意用户注册发布 skills（无需身份验证/代码审查），仅依赖 skill.json 中的 author 字段。攻击者批量注册账号发布带恶意代码的插件，实现任意代码注入、加密货币钱包窃取等。

典型攻击手法与活动
以下是本次事件中几类最具代表性的攻击模式：

• ClawHavoc： 攻击者（如核心ID hightower6eu）上传了数百个伪装成“加密货币交易助手”、“PDF总结工具”的恶意 skills。利用 SKILL.md 文档伪造“环境依赖缺失”假象，诱导用户复制粘贴Base64编码的恶意脚本或下载加密压缩包，投递 Atomic macOS Stealer (AMOS) 木马，窃取钥匙串、浏览器密码及Telegram会话。
• Vidar 及其变种： 恶意脚本静默读取并外传 AI 代理的本地配置文件，重点窃取 openclaw.json、device.json、soul.md 及 memory.md 等文件，旨在获取AI Agent的身份标识、记忆上下文及关联的API密钥，导致受害者AI身份被完全接管
• ClawJacked： 攻击者通过恶意网站暴力破解本地 WebSocket 连接密码，或利用 GNU 长选项缩写绕过 safeBins 安全限制。即使用户未主动安装任何插件，仅需访问恶意网页即可触发攻击，从而突破 localhost 隔离限制，实现远程代码执行（RCE），使攻击者获得对用户系统的最高控制权。