一条命令让开源仓库变AI代理后门，OpenClaw证明无供应链扫描器能检测

当前位置：首页
» 推荐 » 一条命令让开源仓库变AI代理后门，OpenClaw证明无供应链扫描器能检测

一条命令让开源仓库变AI代理后门，OpenClaw证明无供应链扫描器能检测

两个月前，香港大学数据智能实验室的研究人员推出了CLI-Anything，这款新工具能分析任意仓库的源代码，生成结构化的命令行界面（CLI），AI编码代理可通过单条命令操作。Claude Code、Codex、OpenClaw、Cursor、GitHub Copilot CLI均支持，自3月发布以来，CLI-Anything在GitHub的星标已超3万。但让软件代理原生的机制也打开了代理级投毒的大门。攻击社区已在X和安全论坛讨论其影响，将CLI-Anything的架构转化为攻击手册。

安全问题不在于CLI-Anything本身，而在于它所代表的现象。CLI-Anything生成SKILL.md文件，与Snyk在2026年2月于ClawHub和skills.sh发现的76个确认恶意载荷的指令层工件类似。被投毒的技能定义不会触发CVE，也从未出现在软件物料清单（SBOM）中。主流安全扫描器没有检测嵌入代理技能定义的恶意指令的类别，因为该类别18个月前根本不存在。Cisco在4月确认了这一缺口。“传统应用安全工具并非为此设计，”Cisco工程团队在宣布AI代理安全扫描器（用于IDE）的博客中写道，“SAST（静态应用安全测试）扫描器分析源代码语法，SCA（软件成分分析）工具检查依赖版本。两者都不理解MCP（模型上下文协议）工具描述、代理提示和技能定义所在的语义层。”

Enkrypt AI首席安全官、前亚马逊云服务（AWS）副首席信息安全官Merritt Baer在接受VentureBeat独家采访时表示：“SAST和SCA是为代码和依赖构建的，它们不检查指令。”

这不是单一厂商的漏洞，而是整个安全行业监控软件供应链的结构性缺口。这是预利用窗口：CLI-Anything已上线，攻击社区在讨论，现在行动的安全总监能领先于第一份事件报告。

传统供应链安全运行在两层：代码层（SAST工作，扫描源文件的不安全模式、注入漏洞和硬编码密钥）和依赖层（SCA工作，检查包版本、生成SBOM、标记过时库）。而CLI-Anything、MCP连接器、Cursor规则文件、Claude Code技能等代理桥接工具，在另外两层之间运作第三层。可称之为代理集成层：配置文件、技能定义……

原文链接：https://venturebeat.com/security/one-command-open-source-repo-ai-agent-backdoor-openclaw-supply-chain-scanner

关注微信号：智享开源 ，可及时获取信息

0 0