6月28日,AI智能体安全厂商Manifold Security披露了一则安全通报,将OpenClaw生态中的一个命名空间漏洞公之于众。简单来说,就是有人在OpenClaw的官方插件市场ClawHub上,玩起了“冒名顶替”的把戏。

据数据统计,问题显而易见。ClawHub平台共收录了1508个技能,其中多达557个使用了“@某个owner / 技能名”的命名方式。这本身并无问题,但关键在于,大量第三方上传者在命名时直接“借用”知名厂商的品牌热度。举例来说,一个名为“@Microsoft / 12345”的技能,其发布者账号“12345”与微软公司毫无关联。
更严重的是,研究团队发现,有23个插件直接冒用官方身份,伪装成“@OpenClaw/”或“@ClawHub/”的第一方技能。然而,核实发布者后发现,这些账号与OpenClaw或ClawHub官方毫无关系。
那么,这种手段为何能够得逞?核心原因在于,ClawHub的上传规则虽然原则要求技能命名格式与发布者身份一致,但此前并未严格执行。更关键的是,OpenClaw项目组织的命名空间本身允许接纳外部技能,这相当于为“冒名顶替”留下了可乘之机。用户平时习惯看到官方技能,如@openclaw/whatsapp、@openclaw/codex,当突然出现@openclaw/security-gate或@clawhub/aisa-twitter-api时,第一反应自然是“这应该是官方出品的”。
好消息是,目前发现的这23个技能未必包含恶意代码,也未发现已被用于攻击用户的证据。但“命名空间抢注”这一手法本身的危险性不容低估。它本质上是一种“供应链投毒”的前置步骤——先混入官方阵营获取信任,后续再植入恶意内容,这才是真正的隐患所在。
所幸ClawHub反应较为迅速。在收到通报后,官方于6月17日立即强化了命名空间管理规则,并在FAQ页面明确声明:只有拥有@openclaw权限的发布者,才能上传属于openclaw或clawhub命名空间下的技能。截至6月19日,这23个误导性技能已从公开目录中移除。同时,平台新增了命名空间申诉机制,允许被抢注的品牌方或知名开发者提出申诉,为此类风险提供了长效防范。
