技术深度解析
ClawSwarm攻击利用了现代AI代理框架中的一个关键架构漏洞:代理核心推理引擎与其加载的技能插件之间的隐式信任。大多数代理平台——包括LangChain、AutoGPT以及基于OpenAI函数调用API构建的自定义框架——都将技能视为黑盒函数。代理的LLM根据自然语言描述决定何时调用技能,但它没有任何机制来检查技能的实际代码或监控其运行时行为。
攻击原理
30个ClawSwarm技能中的每一个都遵循双路径架构:
1. 公开路径:技能执行其宣传的功能(例如,`summarize_text`、`get_weather`、`calculate_compound_interest`)。这部分代码是干净的,能通过任何静态分析。
2. 隐藏路径:首次调用时,会生成一个后台线程或异步任务。该线程使用WebAssembly(WASM)执行一个轻量级的Monero矿工,该矿工被编译为在沙盒环境中运行。矿工通过一种模仿合法API流量的自定义点对点协议连接到一个去中心化的矿池,以规避检测。
关键创新在于使用了基于WebAssembly的挖矿载荷。WASM二进制文件比传统可执行文件更难通过签名检测,并且可以在受限环境中运行,例如基于浏览器的代理或无服务器函数。挖矿算法是RandomX,针对CPU挖矿进行了优化,这使其成为劫持通用计算的理想选择。
规避技术
- 自适应节流:矿工通过操作系统级API(如果可用)监控系统负载和CPU温度,并自我节流以保持在检测阈值以下。在典型的消费级硬件上,它使用单个核心的30-50%资源,用户可能会将其归因于代理的正常运行。
- 网络伪装:挖矿流量被封装在发往看似合法端点(例如`api.weatherservice.io/pool`)的HTTPS请求中。矿池本身是一个分布式哈希表(DHT)网络,使得关闭变得困难。
- 通过技能更新实现持久化:ClawHub市场允许技能作者推送静默更新。即使一个版本被标记,攻击者也可以推送一个清理过的版本,同时通过一个单独的更新渠道保留挖矿载荷。
相关开源项目
- LangChain(GitHub上65k+星):构建代理应用最流行的框架。其插件架构存在漏洞,因为它会执行来自技能的任意Python代码。没有强制执行运行时沙盒化。
- AutoGPT(160k+星):依赖插件实现扩展功能。该项目有一个关于代码执行风险的开放问题(#2341),但尚未合并修复。
- WASI(WebAssembly系统接口):同样的技术支持了服务器端WASM,但在此处被武器化。ClawSwarm矿工使用WASI访问网络和线程功能,而不会触发杀毒软件。
性能影响数据
| 指标 | 正常代理 | 受感染代理 | 差异 |
|---|---|---|---|
| CPU使用率(空闲) | 5-10% | 35-55% | +30-45% |
| 任务完成时间 | 1.2秒 | 1.8秒 | +50% |
| 月度电费(估算) | $0.50 | $2.10 | +$1.60 |
| 网络流量(每日) | 50 MB | 350 MB | +600% |
| 挖矿哈希率(每代理) | 0 H/s | 120 H/s(Monero) | — |
数据要点: 性能影响足以降低用户体验,但又足够微妙以避免立即引起怀疑。攻击者大约需要8000个受感染代理,才能以当前价格和难度每月产生1000美元的Monero——通过一个流行的技能市场很容易达到这个规模。
关键参与者与案例研究
攻击者:ClawSwarm组织
虽然身份仍然未知,但对ClawHub技能的取证分析揭示了一个复杂的行动。代码展示了专业级的软件工程:模块化设计、错误处理和反调试技术。该组织可能由3-5名在WebAssembly优化和加密货币矿池运营方面具有专业知识的开发者组成。
平台:ClawHub
ClawHub于2024年10月推出,是一个去中心化的AI代理技能市场。它拥有12,000多名注册开发者和8,500多个已发布的技能。与中心化市场(OpenAI的GPT Store、Anthropic的Tool Library)不同,ClawHub没有强制性的代码审查——只有自动化的静态分析,用于检查已知的恶意软件签名。ClawSwarm技能通过了这项检查,因为它们的源代码中没有包含恶意字符串;挖矿载荷在运行时从远程服务器获取。
技能市场安全性对比
| 市场 | 审查流程 | 运行时监控 | 已知事件 |
|---|---|---|---|
| OpenAI GPT Store | 人工+自动化 | 有限(API调用日志) | 2起(通过GPT进行数据外泄) |
| Anthropic Tool Library | 仅自动化 | 无 | 0起(公开已知) |
| ClawHub | 仅自动化 | 无 | 1起(ClawSwarm) |