网络犯罪分子在个人AI助手领域开辟了一个全新攻击面。2026年2月,Hudson Rock监测到一起真实感染事件:信息窃取恶意软件(Infostealer,主要为Vidar变种)成功从受害者机器窃取了OpenClaw (一款热门开源个人AI Agent框架,曾用名Clawdbot/Moltbot)的配置文件和整个工作空间。
Hudson Rock - Infostealer Intelligence Solutions
这标志着恶意软件行为的危险演变------从传统浏览器凭证窃取,升级为获取完整的AI Agent数字身份及其关联的持久记忆和操作环境。OpenClaw能在本地运行,通过WhatsApp、Telegram等聊天应用执行任务、记忆上下文并自动化操作,其配置文件泄露后果远超普通账号盗用。
受感染目录结构:OpenClaw工作空间被完整窃取 恶意软件扫描系统时,意外捕获了".openclaw"目录下的关键文件,包括控制AI Agent运行的核心组件。
被窃取数据主要包括:
- 网关认证令牌(openclaw.json):允许远程连接受害者本地OpenClaw实例。
- 加密密钥对(device.json):用于设备安全配对和消息签名。
- 内存与行为文件 (soul.md、memory.md等):包含活动日志、日历事件、私密消息以及AI长期学习的行为模式。
Hackers steal OpenClaw configuration in emerging AI agent threat
被窃取的openclaw.json截图 (显示认证配置、本地网关令牌及用户邮箱等敏感信息,来源:Hudson Rock / Infostealers报告)
最危险的风险点:device.json与soul.md泄露 device.json包含用户设备的公钥和私钥。一旦落入攻击者手中,攻击者可冒充受害者设备进行消息签名,潜在绕过安全检查,访问加密日志或云配对服务。
而soul.md文件则提供了受害者生活的详细"蓝图"------行为习惯、私密对话以及AI Agent掌握的即将发生事件。这相当于窃取了AI助手的"灵魂"与用户的数字生活全貌。
Hudson Rock Identifies Real-World Infostealer Infection Targeting OpenClaw Configurations | InfoStealers
soul.md文件示例(显示AI的行为边界、对用户生活的深度访问权限及个性设定,来源:OpenClaw相关报告与模板)
攻击机制解析 此次攻击采用"机会主义"文件抓取方式,而非针对OpenClaw的专用模块。恶意软件通过扫描敏感文件扩展名和目录名称(如".openclaw"),顺带捕获了整个AI工作空间。这种广谱抓取表明,当前Infostealer无需专门适配即可入侵新兴AI Agent环境。
安全专家警告:随着OpenClaw在个人与专业场景的普及(GitHub星标超20万),恶意软件开发者很可能很快推出专用解密/解析模块,类似现有针对Chrome或Telegram的处理能力。
openclaw.json 被视为AI Agent的"中枢神经系统"。通过窃取的邮箱、工作空间路径和高熵网关令牌,攻击者可冒充客户端向AI网关发起认证请求,实质上劫持受害者的完整数字身份。
AI Agents Are Here. So Are the Threats.
AI Agent威胁示意图(概念图:恶意软件如何通过窃取配置文件入侵AI生态,来源:类似Palo Alto Networks等安全报告风格)
防护建议:立即行动起来 使用AI Agent的个人与组织必须加强防御:
- 监控异常文件访问:重点关注配置目录的可疑读写行为。
- 加密敏感文件:对openclaw.json、device.json等静态配置文件进行加密,防止明文泄露。
- 定期轮换密钥:及时更换认证令牌和加密密钥,缩短攻击窗口。
- 网络隔离:限制AI网关仅允许授权设备访问,关闭不必要端口。
- 额外最佳实践 :审查已安装的Skills插件、保持OpenClaw及系统最新版本、避免暴露本地实例。
随着AI助手从实验工具转变为日常生产力平台,其安全影响将持续放大。主动防御策略已不再是可选,而是必需。