Clawdrain研究揭示了一个被忽视的安全威胁：攻击者通过特洛伊化的技能植入，利用AI智能体的自主恢复机制，将智能助手变成贪婪的token消耗器。在即将到来的Agentic Economy时代，这类攻击可能导致用户面临真实的经济损失。

作为一款开源自主的AI助手，OpenClaw凭借其社区技能生态迅速普及。但研究表明，开放性与快速增长的生态系统往往走在系统性安全评估前面，带来了潜在风险。

研究团队设计并实现了Clawdrain攻击方案，展示了攻击者如何通过看似合法的技能注入，实现对用户API token的隐蔽消耗。

多轮分段验证协议的陷阱

攻击架构

Clawdrain的核心攻击机制是诱导智能体进入多轮分段验证协议的陷阱：

注入点：通过篡改技能描述文件，植入恶意指令信号系统：配套脚本返回三种状态信号循环陷阱：利用智能体的自动恢复机制，制造反复重试的无限循环

关键技术细节

特洛伊化技能：表面正常的技能文件，内含恶意prompt状态机操控：通过精心设计的信号返回，让智能体陷入修复-重试-失败的循环中消耗token工具链滥用：利用智能体的工具调用链放大攻击效果

实验结果

研究团队在实际生产环境中部署测试，使用最新的大语言模型和真实API计费环境：

这意味着攻击者可以让用户的API消耗暴增6-9倍，而用户可能只是认为任务执行失败了几次。

有趣的部署现象

研究观察到仅在真实部署中出现的行为：智能体会自主组合通用工具来绕过脆弱的协议步骤。这种自救行为反而降低了token放大倍数，但也改变了攻击动态，说明真实环境下的智能体行为比实验室更复杂。

四大生产环境攻击向量

论文系统梳理了开源架构本身启用的攻击面：

技能描述膨胀：技能文件可被注入超长prompt，挤占上下文窗口持久化工具输出污染：恶意输出残留在记忆上下文中，持续影响后续决策定时任务频率放大：利用定时任务机制，将单次攻击扩展为持续消耗行为指令注入：通过技能修改智能体的核心行为指令，实现持久化控制

安全启示

核心结论

Token消耗攻击在真实部署中仍然可行，但其规模和可观测性受工具组合、恢复行为和界面设计的影响。

这意味着：

不是能不能攻击的问题，而是攻击效率多高的问题智能体的自主性反而成为攻击的放大器开源生态的开放性带来了供应链安全风险

防御建议

严格审计技能描述文件，实施prompt长度限制监控token消耗的异常模式隔离技能执行环境，限制工具调用权限对社区技能实施代码签名和沙箱验证

一句话总结

Clawdrain揭示了开源AI Agent生态中被忽视的攻击维度：通过特洛伊化技能劫持智能体的自主恢复机制，将智能变成贪婪的token消耗器。在Agent经济时代即将到来的今天，这类攻击可能对用户造成真实的经济损失。