2026年3月，被誉为"增长最快的开源AI Agent项目"的OpenClaw遭遇严峻安全考验。安全研究者在短时间内追踪到针对其用户的全链条攻击矩阵：攻击者通过NPM恶意依赖包、伪造GitHub组件仓库实施供应链投毒，并利用认证控制逻辑缺陷完成渗透。这一系列结构化攻击表明，针对OpenClaw的常态化、低门槛渗透能力已形成。

随着网络犯罪生态系统的演进，信息窃取器（Infostealers）已从零散的攻击工具发展为高度模块化、产业化的恶意软件即服务（MaaS）产品。此类恶意代码不同于勒索软件的破坏性特征，其核心在于“静默潜伏”与“高效萃取”，旨在无感知地窃取用户凭证、会话 ...