你装的AI技能包，可能正在偷偷下载木马

你信任的AI助手，正在信任你装给它的插件

如果你正在使用AI智能体——那个能帮你写代码、搜信息、管文件的全能助手——你大概已经习惯了给它安装各种”技能包”。就像给手机装App一样，装一个搜索技能，它就能联网查资料；装一个邮件技能，它就能帮你收发信件。

但你有没有想过一个问题：你装给AI的那个技能包，里面到底有什么？

2026年4月22日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室发布了一份预警报告。报告指出，在”龙虾”（OpenClaw）智能体系统的技能仓库中，发现了多个包含恶意代码的仿冒技能包。用户一旦安装，这些技能包会在AI调用时悄悄在后台下载木马程序，窃取用户名、口令、金融信息等敏感数据。

几天后，央视跟进报道了这起事件。国家计算机病毒应急处理中心高级工程师杜振华在采访中说了一句话，值得每个AI智能体用户警醒：”攻击者在正常的技能包中嵌入恶意代码，当智能体调用这些技能包时，会在后台静默下载恶意程序。”

这不是一个假设性的威胁。这是一起已经发生、被国家级安全机构确认的供应链攻击事件。

一条几乎完美的攻击链

理解这起事件，需要先理解AI智能体的工作方式。

与传统软件不同，AI智能体的能力主要来自两个方面：底层的大模型（负责理解和推理）和上层的技能包（负责执行具体操作）。大模型相当于大脑，技能包相当于手和脚。没有技能包，AI智能体只是一个聊天机器人；有了技能包，它可以读写文件、搜索网络、发送邮件、操作数据库——几乎无所不能。

这也意味着，技能包拥有极高的系统权限。一个搜索技能包需要网络访问权限，一个文件管理技能包需要读写磁盘的权限，一个邮件技能包需要访问你的收件箱。当你给AI装上这些技能包时，你实际上是把对应权限交给了技能包的开发者。

攻击者看到了这个机会。他们的手法并不复杂，但极为有效：

第一步：仿冒。 攻击者找到一个流行的技能包，复制它的功能描述和界面，但在代码中植入恶意逻辑。从外表看，它和正版技能包几乎一模一样——同样的名称、同样的描述、同样的功能演示。

第二步：静默下载。 当用户安装这个仿冒技能包后，AI智能体在正常调用技能时，恶意代码会在后台悄悄下载真正的木马程序。这个过程完全透明——用户看到的只是AI在执行正常任务，感觉不到任何异常。

第三步：数据窃取。 木马程序在后台运行后，开始搜集用户主机中的敏感信息：用户名、口令、金融财产相关信息。这些数据被加密发送到攻击者控制的服务器。

第四步：横向移动。 更危险的是，恶意代码还能将智能体系统变成攻击跳板。由于AI智能体通常运行在用户的个人电脑或企业内网中，攻击者可以通过被感染的智能体，进一步入侵同一网络中的其他设备和信息系统。

从仿冒到数据窃取，整条链路自动化程度极高，用户全程无感知。

供应链攻击的新战场

如果你关注网络安全，这起事件可能会让你想起一些熟悉的案例。

2024年，攻击者在npm包管理器中发布仿冒包，窃取开发者的环境变量和API密钥。2025年，Docker Hub上出现植入挖矿木马的容器镜像，数千台服务器被感染。2026年4月，Trivy安全扫描器的恶意版本被上传到官方渠道，导致欧盟350GB数据泄露。

这些事件的共同模式是：攻击者不再试图直接攻破目标系统，而是瞄准了供应链——用户信任的分发渠道。你从官方仓库安装的软件、从包管理器下载的依赖、从应用商店安装的App，都可能被”投毒”。

AI智能体的技能包，是这条供应链攻击线的最新延伸。

与传统供应链攻击相比，AI技能包投毒有几个独特优势：

权限更高。 AI智能体通常以用户的身份运行，拥有用户级别的所有权限。一个被投毒的技能包，相当于攻击者拿到了用户的完整操作权——读写文件、访问网络、操作数据库，一个都不缺。

隐蔽性更强。 传统恶意软件需要用户主动运行，而AI技能包是”被动触发”的——用户正常的AI交互就会激活恶意代码。用户甚至不需要点击任何可疑链接，只需像往常一样使用AI助手即可。

审计更难。 npm包和Docker镜像至少有代码可审查。但AI技能包通常包含自然语言提示词、外部网络链接、脚本代码等多种组件，审计难度远高于传统软件包。普通用户根本无法判断一个技能包是否安全。

传播更快。 AI智能体的技能包生态正在快速扩张。随着用户对AI助手功能的需求增长，技能包的数量和种类也在爆发式增加。这为攻击者提供了更大的”投放面积”。

为什么是OpenClaw？

国家病毒中心此次预警的对象是OpenClaw（中文名”龙虾”），这是当前国内最热门的开源AI智能体系统之一。它的特点是支持本地部署、自动执行任务、通过技能包扩展功能，受到了大量个人用户和企业用户的青睐。

OpenClaw被盯上并非偶然，而是其生态特性决定的：

开放性。 OpenClaw的技能包采用开放架构，任何人都可以开发和发布技能包。这种开放性是生态繁荣的基础，但也是安全风险的来源——开放的仓库意味着攻击者可以轻易发布仿冒包。

高权限。 OpenClaw的技能包可以执行脚本、调用系统命令、访问网络。这些高权限是AI智能体完成复杂任务的前提，但也为恶意代码提供了执行环境。

用户群体特征。 OpenClaw的用户群体以技术开发者和AI爱好者为主，这些人通常拥有大量敏感数据（API密钥、数据库凭证、SSH密钥等），是高价值攻击目标。

简单说，OpenClaw的生态是一个”高价值+大攻击面+低防御”的组合——对攻击者来说，这是最理想的靶子。

但这绝不仅仅是OpenClaw一个平台的问题。任何采用类似技能包架构的AI智能体系统，都面临同样的风险。OpenClaw只是第一个被国家级机构公开预警的案例。

用户能做什么？

面对AI技能包投毒，用户并非束手无策。国家病毒中心在预警报告中给出了具体建议，结合安全社区的实践，可以归纳为以下几条核心原则：

第一，审计再安装。 在安装任何技能包之前，检查其包含的提示词、外部网络链接、脚本代码和调用的工具软件。确保其功能与描述相符，且不包含未知功能。如果你不懂代码，至少确认技能包的来源是否可信——是否来自官方仓库、是否有活跃的维护者、是否有其他用户的正面评价。

第二，最小权限。 不要给AI智能体不必要的权限。如果一个搜索技能包请求文件写入权限，这就是一个红旗。收紧操作边界，禁止智能体自主执行高风险、不可逆操作。

第三，隔离运行。 如果可能，将AI智能体系统与生产环境隔离。不要让AI智能体直接访问包含敏感数据的生产系统。使用网络隔离或访问控制策略，防止被感染的智能体成为攻击内网的跳板。

第四，不提交敏感信息。 这是国家病毒中心高级工程师杜振华特别强调的一点：不要随意向智能体提交密码、金融凭证等隐私资料。即使智能体本身是安全的，你提交的数据也可能被恶意技能包截获。

第五，检测可疑文件。 国家病毒中心提供了在线检测平台（virus.cverc.org.cn），用户可以上传可疑的技能包文件进行安全性检测。这是目前最权威的检测渠道。

一个更大的问题

OpenClaw技能包投毒事件，暴露了一个比”某个平台被攻击”更深层的问题：AI智能体生态的安全基础设施，严重滞后于生态本身的发展。

当npm生态遭遇供应链攻击时，社区迅速建立了包签名验证、依赖锁定、审计日志等安全机制。当Docker镜像被投毒时，镜像签名和可信仓库成为标配。

但AI智能体的技能包生态，目前几乎没有等效的安全基础设施。没有统一的代码签名机制，没有强制的安全审计流程，没有实时恶意检测系统。用户安装技能包的安全性，几乎完全依赖于”信任”——信任开发者、信任仓库、信任社区。

在一个攻击者可以轻易仿冒技能包的世界里，”信任”是最脆弱的防线。

解决这个问题，需要平台方、开发者和安全社区的共同努力。平台方需要建立技能包的安全审核机制和代码签名体系；开发者需要遵循安全编码规范，避免在技能包中引入不必要的风险；安全社区需要建立AI智能体生态的威胁情报共享机制。

在此之前，每个AI智能体用户都需要记住一个简单的事实：你装给AI的每一个技能包，都是在给它增加一份权力——也是给自己增加一份风险。

在那个技能包通过安全审计之前，你永远不知道它的代码里藏着什么。

信息来源

• 国家计算机病毒应急处理中心：警惕！”龙虾”智能体被投毒
• 央视披露：多款”龙虾”智能体的技能包中暗藏恶意代码
• 央视提醒警惕养龙虾风险！多款AI智能体技能包暗藏恶意代码