问题:自动化工具“扩展能力”被恶意借用,macOS用户面临隐蔽窃密威胁 1Password于2月2日发布博文称,其安全团队发现攻击者借助近期热度较高的智能体工具OpenClaw(曾用名Clawdbot、Moltbot)的“技能”文件机制,向macOS用户传播并植入恶意软件。与以往以破坏系统或勒索加密为目的的攻击不同,此次载荷被确认属于信息窃取类恶意程序,重点瞄准账户体系与开发者资产,通过静默方式收集浏览器Cookie、活跃登录会话、自动填充密码、SSH密钥以及各类开发者接口令牌等。 原因:教程式传播叠加“技能文件”信任链,形成新型社会工程路径 业内分析认为,此类攻击更具迷惑性,主要利用了两层“信任”。其一,攻击内容往往以“教程”“集成指南”“效率脚本”等形式出现,贴近开发者日常学习与部署习惯,容易降低警惕。其二,“技能”文件原本用于扩展工具能力,常以文档形式呈现,更容易被用户当作低风险内容。攻击者将恶意指令或脚本执行引导嵌入其中,用户一旦照步骤操作,就可能触发下载、执行或权限配置等关键环节,从而绕开部分以拦截可执行文件为主的传统防护思路。 另外,自动化工具强调“主动执行”“记忆偏好”“跨应用操作”。效率提升的同时,也扩大了其对系统资源、账户会话与开发环境配置的接触范围;一旦被诱导执行不当操作,影响更容易连带扩散。 影响:从个人数据外泄延伸至代码仓库与云环境,带来链式风险 信息窃取类恶意程序的风险在于“以小撬大”。Cookie与会话令牌可能帮助攻击者绕过多因素认证,直接接管常用在线服务;SSH密钥与接口令牌一旦泄露,可能深入渗透源代码仓库、云资源控制台以及企业持续集成/持续交付(CI/CD)系统,继而引发二次投毒、供应链污染与更大范围的数据外泄。 对依赖开发者生态的企业而言,这类攻击不再局限于单一终端,而可能沿权限链条扩散到项目协作、运维部署与生产环境,形成“从个人设备到组织系统”的穿透路径。1Password同时提示,部分用户希望通过所谓“上下文权限控制协议”等方式约束工具权限,但面对以人为诱导为核心的攻击,单一机制很难形成充分防线。 对策:压实平台、开发者与企业三方责任,构建可验证的安全闭环 安全业内人士建议,从源头到使用端同步加固。 一是工具与平台侧应加强扩展内容治理:为“技能/插件/脚本”建立来源标识、签名校验、权限分级与风险提示;提供可追溯的发布渠道与撤回机制;对高风险操作(下载执行、修改系统配置、读取密钥与令牌等)设置更严格的确认与审计。 二是开发者与个人用户应将“教程即代码”纳入安全范畴:避免直接复制粘贴未知来源命令;谨慎授予终端、钥匙串、浏览器与开发工具的敏感权限;对密钥与令牌执行最小权限、定期轮换与分环境隔离,优先采用短期凭证与设备绑定策略。 三是企业侧需打通终端安全与开发安全:完善令牌管理、密钥托管、异常登录检测与CI/CD安全闸门;对外部脚本、扩展与自动化流程引入评审与沙箱验证;必要时面向开发团队开展定向培训与演练,提高对“伪教程”“伪集成”的识别能力。 前景:自动化能力越强,越需要把“可控、可审计、可撤销”写入产品底座 随着各类智能化自动化工具加速进入工作流,“能做什么”正在迅速延展为“会不会被借来作恶”的新问题。未来一段时期,攻击手法可能更多围绕文档、脚本、扩展包与协作平台展开,利用开发者追求效率、快速集成的心理窗口实施投毒。业内普遍认为,关键不在于简单限制功能,而在于建立可验证的信任体系:清晰的来源、透明的权限、完整的审计、有效的隔离,以及出现风险后的快速止损能力。只有把安全作为产品能力前置设计,才能在效率与风险之间取得更稳健的平衡。
此次事件再次提醒,工具自主性越强,安全设计越不能滞后;网络安全的“木桶效应”仍然适用:任何环节的短板都可能成为突破口。只有同时补齐技术防护与人员意识两道防线,才能更好守住核心数据资产。