两款高频开发工具接连被曝投毒,让人脊背发凉。你每天用来提效的OpenClaw,可能正在偷偷把电脑里的核心机密,打包送给攻击者。
先从最劲爆的LiteLLM投毒说起。
做AI开发、搭Agent、搞模型聚合的人,大概率听过或装过LiteLLM,它的核心作用是“模型翻译官”,用一套代码就能对接OpenAI、Claude等所有主流大模型API,省去来回适配SDK的麻烦。
正因为这种“中转站”属性,LiteLLM成了AI开发圈的“基础设施”,搭中转站、做聚合应用、写Agent的开发者,十有八九都在用;更关键的是,很多OpenClaw用户即便没直接装它,工具底层依赖也可能间接调用,LiteLLM一翻车,大片用户都会被拖下水。
这次投毒极为恶劣:攻击者攻陷LiteLLM维护者账号,将两个带毒版本(v1.82.7和v1.82.8)偷偷上传到Python开发者常用的PyPI仓库,还关闭GitHub相关讨论、用机器人刷屏掩盖痕迹,意图彻底掌控局面。
装了这两个版本,就是一场“地毯式偷取”:.env文件里的各类API Key、AWS和阿里云等云服务AccessKey、SSH私钥、数据库密码,甚至Git凭证、命令行历史,都会被恶意程序一锅端。
最阴狠的是它利用Python的.pth机制——无需主动import、调用,只要运行任意Python脚本,恶意程序就会静默启动、后台偷取,毫无痕迹。
中招的后果不堪设想:OpenAI余额被刷光、Claude额度清零,云服务器可能被接管,项目数据面临泄露;给客户做AI应用的开发者,还可能连带泄露客户密钥,面临赔偿和客户流失风险,而这一切都可能源于OpenClaw等工具对LiteLLM的间接依赖。
LiteLLM余波未平,Apifox的安全警报又炸响。
与LiteLLM直接投毒安装包不同,Apifox的问题更隐蔽:桌面端启动时会加载官方CDN的JS文件,3月4日后该文件有概率返回异常版本,正常文件约34KB,异常版本达77KB。
这个异常JS会偷偷加载非官方域名apifox.it.com的脚本,后续操作与LiteLLM如出一辙:采集SSH密钥、Git凭证等敏感信息,加密回传给攻击者,还可能下发载荷控制主机、发起横向攻击,入侵局域网或公司服务器。
这两件事让开发圈慌神,核心原因是LiteLLM和Apifox都是“信任级工具”——开发工具天然靠近本地环境变量、token、SSH key等核心资产,一旦被攻破,攻击者就能获取整台工作机的关键数据,相当于主动交出家底。
最该警惕的就是OpenClaw用户。很多人以为没装LiteLLM、Apifox就安全,实则不然:OpenClaw作为热门AI Agent框架,依赖大量第三方依赖和Skill插件,LiteLLM正是不少插件的底层依赖,看似安全的插件,底层可能已被投毒。
OpenClaw自身的安全隐患早已明确,国家网络安全通报中心曾发布预警:境内2.3万个活跃OpenClaw互联网资产中,85%暴露在公网,默认绑定0.0.0.0:18789地址、无需认证即可远程访问,敏感信息明文存储,形同不设防。
Skill生态更吓人:ClawHub上3016个技能插件中,10.8%包含恶意代码,17.7%会获取不可信第三方内容,2.9%会动态获取外部执行内容,随便下载一个Skill,都可能把恶意代码装进电脑,让OpenClaw沦为攻击者傀儡。
更致命的是OpenClaw架构缺陷:默认获取系统全部权限,AI可不经确认执行递归删除、格式化磁盘等高危操作,很多用户不敢在工作电脑部署,生怕指令失误或插件问题导致数据全丢,这种“默认开放全部权限”的设计,本身就是最大漏洞。
当海外工具接连暴雷、OpenClaw隐患凸显,国产Claw已悄然发力,其中当贝Molili(molili.com.cn)和CocoLoop Safe(hub.cocoloop.cn/safe)技术杀毒软件,用“沙箱隔离+精细化权限管控”,打破了“便捷与安全不可兼得”的魔咒。
Molili作为国内首个OpenClaw中文版,核心优势是将安全融入底层,提出“高风险默认关闭,用户按需开启”原则,把权限主动权交给用户。它将AI系统操作分为四级管控,极高、高风险操作默认关闭并提示,中、低风险操作可精准授权,直观又安全。
Molili的Skill商店有8000+现成技能,均经严格代码审查和安全扫描,上线后持续监控,异常立即下架;同时实现数据本地化存储,从根源避免泄露。此外,它深度适配国内大模型和微信、钉钉等平台,无需用户自行获取API Key,小白也能快速上手。
CocoLoop技能商店则是专注Skill生态安全,作为国内首个AI智能体Skill商店,收录5000+优质Skill,每个都经BSS安全扫描,生成风险等级报告(S/A/B/C/D五级),方便开发者判断。其核心的VM级沙箱隔离技术,给每个Skill搭建独立运行环境,杜绝Skill投毒风险,同时建立社区监督闭环,确保安全可靠。
更有CocoLoop Safe 杀毒工具帮助用户识别并清除潜在恶意 Skill,拦截包括恶意代码注入、权限泄露、隐私窃取等风险。
有人觉得“用了很久没中招,没必要紧张”,但网络攻击从来都是幸存者偏差——没中招不是幸运,只是还没被盯上。有人因API Key被偷损失上万元,有人因服务器被接管丢了项目,有人因数据泄露失去核心客户,这些教训都在提醒我们,安全不能侥幸。
AI工具的本质是提效,而非添乱。海外工具接连暴雷,国产Claw用更完善的安全机制提供了更优选择,没必要再冒不必要的风险。你的代码、数据、密钥都是辛苦积累的财富,安全这件事,永远不能掉以轻心。