网络犯罪分子锁定个人AI助手：OpenClaw配置遭信息窃取恶意软件攻击

网络犯罪分子在个人AI助手领域开辟了一个全新攻击面。2026年2月，Hudson Rock监测到一起真实感染事件：信息窃取恶意软件（Infostealer，主要为Vidar变种）成功从受害者机器窃取了OpenClaw（一款热门开源个人AI Agent框架，曾用名Clawdbot/Moltbot）的配置文件和整个工作空间。

Hudson Rock - Infostealer Intelligence Solutions

这标志着恶意软件行为的危险演变——从传统浏览器凭证窃取，升级为获取完整的AI Agent数字身份及其关联的持久记忆和操作环境。OpenClaw能在本地运行，通过WhatsApp、Telegram等聊天应用执行任务、记忆上下文并自动化操作，其配置文件泄露后果远超普通账号盗用。

受感染目录结构：OpenClaw工作空间被完整窃取恶意软件扫描系统时，意外捕获了“.openclaw”目录下的关键文件，包括控制AI Agent运行的核心组件。

被窃取数据主要包括：

• 网关认证令牌（openclaw.json）：允许远程连接受害者本地OpenClaw实例。
• 加密密钥对（device.json）：用于设备安全配对和消息签名。
• 内存与行为文件（soul.md、memory.md等）：包含活动日志、日历事件、私密消息以及AI长期学习的行为模式。

Hackers steal OpenClaw configuration in emerging AI agent threat

被窃取的openclaw.json截图（显示认证配置、本地网关令牌及用户邮箱等敏感信息，来源：Hudson Rock / Infostealers报告）

最危险的风险点：device.json与soul.md泄露device.json包含用户设备的公钥和私钥。一旦落入攻击者手中，攻击者可冒充受害者设备进行消息签名，潜在绕过安全检查，访问加密日志或云配对服务。

而soul.md文件则提供了受害者生活的详细“蓝图”——行为习惯、私密对话以及AI Agent掌握的即将发生事件。这相当于窃取了AI助手的“灵魂”与用户的数字生活全貌。

Hudson Rock Identifies Real-World Infostealer Infection Targeting OpenClaw Configurations | InfoStealers

soul.md文件示例（显示AI的行为边界、对用户生活的深度访问权限及个性设定，来源：OpenClaw相关报告与模板）

攻击机制解析此次攻击采用“机会主义”文件抓取方式，而非针对OpenClaw的专用模块。恶意软件通过扫描敏感文件扩展名和目录名称（如“.openclaw”），顺带捕获了整个AI工作空间。这种广谱抓取表明，当前Infostealer无需专门适配即可入侵新兴AI Agent环境。

安全专家警告：随着OpenClaw在个人与专业场景的普及（GitHub星标超20万），恶意软件开发者很可能很快推出专用解密/解析模块，类似现有针对Chrome或Telegram的处理能力。

openclaw.json被视为AI Agent的“中枢神经系统”。通过窃取的邮箱、工作空间路径和高熵网关令牌，攻击者可冒充客户端向AI网关发起认证请求，实质上劫持受害者的完整数字身份。

AI Agents Are Here. So Are the Threats.

AI Agent威胁示意图（概念图：恶意软件如何通过窃取配置文件入侵AI生态，来源：类似Palo Alto Networks等安全报告风格）

防护建议：立即行动起来使用AI Agent的个人与组织必须加强防御：

• 监控异常文件访问：重点关注配置目录的可疑读写行为。
• 加密敏感文件：对openclaw.json、device.json等静态配置文件进行加密，防止明文泄露。
• 定期轮换密钥：及时更换认证令牌和加密密钥，缩短攻击窗口。
• 网络隔离：限制AI网关仅允许授权设备访问，关闭不必要端口。
• 额外最佳实践：审查已安装的Skills插件、保持OpenClaw及系统最新版本、避免暴露本地实例。

随着AI助手从实验工具转变为日常生产力平台，其安全影响将持续放大。主动防御策略已不再是可选，而是必需。