一、AI Agent 正在从'对话系统'演变为高权限执行系统
以 OpenCode、OpenClaw 等为代表的高自主性 AI Agent,已经被广泛部署在用户本地环境中,并通过 Skill 或插件机制接入操作系统、开发工具及第三方服务。
Agent 在运行过程中通常会持续持有用户配置的上下文信息、访问凭据和执行权限,用于完成自动化任务。
在实际使用场景中,这类 Agent 通常可以直接执行命令、读写本地文件、发起网络请求,并与加密钱包、交易平台、企业系统等高价值目标建立连接。
随着 Agent 能力与权限的不断增加,其实际执行行为越来越依赖输入内容与扩展机制的具体执行路径,提示词输入与 Skill 执行逻辑逐渐成为影响 Agent 行为的关键控制面。
二、提示词注入对 Agent 行为的劫持
在 OpenClaw 的实际使用中,Agent 常被配置为自动读取邮件、消息或文件内容,并根据解析结果触发后续操作。
这类输入通常来自不受信任的外部来源,但在处理流程中会被直接纳入 Agent 的执行判断。
已有研究者披露 OpenClaw 在办公场景中存在数据泄漏风险,通过恶意邮件即可窃取敏感信息:攻击者向 OpenClaw 发送了一封包含提示词注入内容的邮件,随后触发 Agent 执行邮件检查流程。Agent 在处理该输入时执行了注入指令,并将运行环境中的私钥信息外传给攻击者,整个过程发生在 Agent 的正常执行链路内,如下图:
(https://x.com/Mkukkk/status/2015951362270310879)
在这种架构下,提示词与执行逻辑处于同一决策层级。
只要输入内容未与指令语义进行隔离,外部文本即可直接驱动 Agent 行为,构成对其执行过程的实质性接管。
三、Skill 扩展机制带来的执行边界突破与接管风险
ClawHub 是 openclaw 提供的 skill 仓库,目前提供了近 3000 个 skill,由于其管理较为松散,任意用户都可以发布自己的 skill 到公共仓库,在最近几天大量用户在其 GitHub 仓库中反馈发现恶意的被投毒 skill。
通过分析我们发现 ClawHub 中约有 10% 的 Skill 存在恶意或可疑行为,用户直接信任将面临很高的数据泄漏及权限获取风险。
Skill 通常与 Agent 主体处于同一信任边界,继承其文件访问、网络请求与命令执行能力。
Skill 进入执行链路后,风险来源不止于 Skill 代码本体,还包括文档引导的操作步骤与外部依赖的可执行载荷,常见的风险类型如下:
1. 文档引导的外部执行
样本中大量恶意行为写在文档'前置条件 / 安装步骤'里,常见形态为 Base64 解码后直接交给 shell 执行:
echo '<BASE64_PAYLOAD>' | base64 -D | bash
