随着AI代理的快速普及,网络威胁分子正利用这一趋势,开发出专门针对AI代理本身的恶意软件。“幽灵之爪”(GhostClaw或GhostLoader)就是其中之一,它瞄准AI辅助工作流和GitHub仓库,旨在植入窃取凭证的恶意载荷。
“幽灵之爪”标志着软件供应链攻击的一个新方向。其独特之处在于,它不再完全依赖人工下载恶意软件包,而是为OpenClaw等AI代理精心设计陷阱,使其自主触发感染。一旦执行,恶意软件便会建立一个持久的远程访问木马(RAT),窃取系统凭证、浏览器数据、开发者令牌及加密货币钱包。
这次攻击活动利用了开发者赋予本地AI代理的高级别系统权限。它警示我们,AI代理正日益成为主要的攻击面,对于那些依赖这些框架自动化编码任务的开发团队来说,这是一个亟需重视的警钟。
要理解“幽灵之爪”的运作方式,需从开发者部署AI工具的习惯入手。OpenClaw是一款开源AI代理,作为自主、常驻的编码助手。由于其持续运行本地模型需大量计算资源,其普及促使Mac Mini销量大增,开发者常利用苹果的统一内存架构来托管这些资源密集型本地AI服务器。为此,“幽灵之爪”的攻击者专门针对macOS环境优化,利用原生AppleScript和本地目录隐蔽运行。
攻击始于社交工程。攻击者会在GitHub上伪造合法开发者工具、交易机器人或AI插件的仓库。为逃避初期检测,这些仓库会保持良性状态五到七天,在此期间积累星标和关注者以建立信任。一旦信任形成,攻击者便会替换为恶意载荷。对于AI框架开发者而言,陷阱通常设在SKILL.md文件中。AI代理利用“技能”与外部世界交互,如读取本地文件、执行shell命令或管理电子邮件,而SKILL.md正是定义这些外部功能的文件。
在“幽灵之爪”的恶意仓库中,SKILL.md文件本身并无恶意代码,它定义了正常的元数据、依赖和命令。然而,当AI代理或人类开发者依照仓库的设置说明(通常通过运行install.sh脚本或包管理器安装依赖)时,就会触发多阶段感染。
研究人员观察到,在伪装成OpenClaw安装程序的恶意npm包中也存在这种行为。这些npm包的配置看似正常,且公开的源代码中包含无害的诱饵工具。