Claude Code 写攻击脚本 OpenClaw 自动指挥|900家公司3万密钥外泄
有了 Claude Code 读代码和调 Bug,有了 OpenClaw 编排和自动化工作流,一个人就能运营一个媲美专业团伙的攻击平台。这使得传统的"检测恶意 AI 行为"变得更加困难,因为从 AI 的角度看,它只是在"帮助用户写代码和管理工作流"。如果说 Claude Code 是黑客的"编程助手",那 OpenClaw 就是攻击者的"自动化指挥中心"。攻击者不是用 AI 去"自动攻击",他们是
当我们还在讨论研究用 AI 助手写代码、调 Bug、提升效率。
效率提升 10 倍|OpenClaw + OpenCLI 实战体验
有人在用它扫描、攻破系统:
攻击者使用 Anthropic 的 Claude Code 写攻击代码,用 OpenClaw 管理攻击流程,
在过去大半年里扫描了全球数百万个网站,成功入侵了超过 900 家公司,窃取了 3 万多份密钥文件。
始于一台"裸奔"的服务器
安全研究员发现了一台没有设防的服务器。
它直接暴露在互联网上,任何人都能访问。
服务器从 2025 年 9 月运行,上面存着超过 13,000 个文件,分布在
150 多个目录里。
它们形成了一套完整的攻击工作台:扫描目标、入侵系统、窃取凭证、验证权限、整理战利品,一气呵成。
所有文件显示:这是一个有纪律、有流程、持续运营了大半年的攻击行动。
研究人员给它取了个名字:Bissa Scanner。
攻击如何运作?
自动化的"入室盗窃流水线"
按照一份目标列表,派出机器人挨家挨户试门锁(扫描漏洞)。
一旦发现哪家的锁有已知缺陷(CVE-2025-55182),机器人就自动开门进去,
翻出所有值钱的东西(密钥文件),打包寄到云存储仓库,
最后在手机上给你发一条通知:"已拿下银行级密钥,建议优先处理。"
这就是 Bissa Scanner 的运作方式。
第一步:扫描目标
攻击者从某个渠道获取了大量的互联网目标列表,这些列表包含了数百万个网站的地址。
Bissa Scanner 会自动读取这些列表,然后逐个尝试利用一个叫做 React2Shell 的漏洞。
漏洞编号:CVE-2025-55182,严重程度评分是 10.0 满分。
这意味着它是最高等级的安全漏洞,利用起来极其简单,后果极其严重。
React2Shell 漏洞就像是一扇万能钥匙能打开的门——不需要任何技巧,有这个漏洞的系统就可以入侵。
这个漏洞存在于 React(一个全球最流行的网页前端框架)中,影响所有使用 Next.js 框架部署的网站。
2025 年 11 月底,一位新西兰安全研究员 Lachlan Davidson 发现了这个漏洞并报告给了 Meta。补丁在 12 月就发布了。
但是大量网站没有及时打补丁。
第二步:自动入侵
一旦发现漏洞,Bissa Scanner 就会自动入侵,然后在服务器上执行下列操作:
-
• 窃取所有密钥文件(就是那些 .env 文件,里面存着数据库密码、API 密钥、支付密钥等一切敏感信息)
-
• 获取云服务的访问权限
-
• 探测数据库和缓存服务的连接信息
-
• 搜集加密货币钱包相关材料
-
• 拿走一切有价值的东西
第三步:数据上传
窃取的密钥文件会被自动打包成 ZIP 压缩包,上传到一个叫"bissapromax"的云存储桶里。
-
• 400 多个压缩包
-
• 30,000 多份不同的密钥文件
-
• 65,000 多个被归档的文件
-
• 时间跨度:2026 年 4 月 10 日到 4 月 21 日——仅仅 12 天
第四步:消息通知
每成功入侵一个目标,Bissa Scanner 就会通过 Telegram 给攻击者发一条消息。
消息格式一行,用 emoji 分隔字段,包含:
-
• 受害者身份
-
• 服务器运行环境
-
• 权限级别
-
• 云服务配置
-
• 可窃取的密钥数量
攻击者在手机上,就能逐条审阅自己的"战果",决定哪些值得深入挖掘。
这套通知系统由一个叫"@bissapwned_bot"的 Telegram 机器人驱动,通知最终发到一个私人聊天窗口:机器人和攻击者本人。
AI 如何成为攻击者的利器?
研究人员发现,攻击者的工作环境里集成了两个 AI 工具:
Claude Code:攻击者的编程助手
Claude Code 是 Anthropic 推出的 AI 编程助手,它可以帮你读代码、写代码、理解代码逻辑、找 Bug、做测试。
攻击者跟正常程序员一样使用它:
-
• 让 Claude 阅读和理解 Bissa Scanner 的代码库
-
• 让它帮忙排查扫描器运行中的各种问题
-
• 让它分析性能测试的结果
-
• 甚至让它规划代码改进方案:研究人员发现了 Claude 生成的"思维链"提示词,显示它在帮攻击者评估和规划攻击工具的升级
Claude Code 就像一个不知情的程序员被雇来维护一款"看起来正常"的软件。
它不知道这个软件的实际用途是攻击别人的系统。
研究人员没有看到攻击者发给 Claude 的具体提示词。
所以他们无法确认,攻击者是否试图欺骗 AI 的安全防护(比如让它忽略安全限制)。
OpenClaw:攻击者的自动化指挥中心
如果说 Claude Code 是黑客的"编程助手",那 OpenClaw 就是攻击者的"自动化指挥中心"。
OpenClaw 是一个开源的 AI Agent 框架,能自主执行任务:浏览网页、操作文件、调用工具、与其他系统交互。
攻击者在同一台服务器上部署了 OpenClaw,配置包括:
-
• 一个 WebSocket 网关(用于实时通信)
-
• 浏览器控制能力
-
• 使用了 Claude Sonnet 4 模型
-
• 通过 Telegram 机器人 @bissa_scan_bot 进行交互
这些证据表明,OpenClaw 在攻击者的日常工作流中扮演了"任务编排者"的角色:
协调各个攻击模块的运行,自动化处理日常事务,让整个攻击流水线更加顺畅。
如果 Bissa Scanner 是一条生产线,Claude Code 是生产线上的工程师,
那 OpenClaw 就是项目经理,确保所有环节按计划运转。
这不是 OpenClaw 的问题:刀可以切菜,也可以伤人,关键在谁手里。
任何强大的自动化工具,都有可能被滥用。
攻击者不是用 AI 去"自动攻击",他们是用 AI 来提升自己的工程效率,就像你我用 AI 写代码一样自然。
这使得传统的"检测恶意 AI 行为"变得更加困难,因为从 AI 的角度看,它只是在"帮助用户写代码和管理工作流"。
哪些密钥遭泄漏?
这次攻击窃取的密钥,覆盖了现代 SaaS 服务的几乎所有类别。
AI 平台的密钥最多,其次是云服务、支付系统、即时通讯、数据库……几乎你能想到的互联网服务,都在这张表里:
|
类别 |
涉及平台 |
|---|---|
|
AI 平台 |
Anthropic、Google、OpenAI、Mistral、OpenRouter、Groq、Replicate、DeepSeek、HuggingFace |
|
云服务 |
AWS、Cloudflare、Azure、Google Cloud、DigitalOcean |
|
支付 |
Stripe、PayPal、Shopify、Square |
|
银行 |
Plaid(连接银行账户的服务) |
|
即时通讯 |
Telegram、SendGrid、Twilio |
|
数据库 |
Supabase、MongoDB |
|
代码托管 |
GitHub |
|
身份认证 |
Auth0/Okta、Clerk |
|
加密货币托管 |
Fireblocks |
|
企业协作 |
Slack |
典型案例
这其中,有三家受害公司的情况,比单纯的密钥泄露严重得多:
案例一:税务和金融咨询公司
这家公司被直接确认是通过 React2Shell 漏洞入侵的。攻击者拿走的不只是密钥,还有:
-
• 银行账户连接令牌
-
• IRS(美国国税局)税务记录
-
• 银行转账相关记录
-
• Salesforce 客户数据
-
• 包含社会安全号和出生日期的案件数据
案例二:数字资产和支付公司
这家大型数字资产和支付公司,攻击者拿到了供应商信息、发票、采购订单、付款流程和银行账户数据。
案例三:薪酬和加密货币支付平台
这家中型薪酬平台的数据包括工资单、结算记录、加密货币托管集成和人事系统材料。
后两家公司的入侵路径至今不明,也许不是通过 Bissa Scanner,但数据确实出现在了同一台服务器上。
研究人员已经确认,那些密钥文件里的凭证,很多至今仍然是有效的。
也就是说,如果公司的 .env 文件被偷了,而公司没有轮换过密钥,攻击者现在可能仍然能用这些密钥访问系统。
六条防御建议
1. 打补丁要快,别拖
React2Shell 的补丁在 2025 年 12 月就发布了,但到 2026 年 4 月,还有大量网站没打补丁。
攻击者正是利用了这个时间差。
订阅你使用的框架和库的安全公告,第一时间打补丁。
2. 不在 .env 文件中存储密钥、密码
攻击者窃取的主要就是 .env 文件。
太多开发者习惯把 API 密钥、数据库密码直接写在 .env 文件里,因为"方便"。
这就像把家里所有钥匙的备份,写在一张纸上,然后贴在门口。
确实方便,但方便的不只是你自己。
使用专门的密钥管理服务(如 AWS Secrets Manager、HashiCorp Vault),运行时注入密钥,设置短有效期,每个密钥只给最小权限。
3. 假设防火墙一定会失效
不要觉得"有防火墙"就够了。
Bissa Scanner 证明了一个满分漏洞可以轻松绕过你的边界防御。
用临时凭证替代长期密钥,收紧权限控制,禁用不用的服务账号,永远不要在应用容器里挂载运行时接口。
4. 控制出口流量
攻击者能安静地把数据传到外部云存储,说明受害者的服务器出口流量没有任何监控和限制。
让应用服务器的所有出站流量都通过代理,记录日志,设置白名单。
这样即使被入侵,攻击者也无法悄无声息地把数据传走。
5. 定期轮换密钥,部署蜜罐
如果密钥从创建后就没换过,一旦泄露,攻击者就可以永久使用。
按计划轮换所有密钥;在源码和构建产物中扫描硬编码的密钥;
部署蜜罐令牌(canary token):一旦有人使用它,你就立刻知道有人在入侵。
6. 演练应急响应
最快的恢复,属于那些在"没有着火"的时候就反复演练过的团队。
搞清楚哪些密钥可以在几分钟内轮换,哪些需要几天;
保持供应商联系方式更新;每年至少做一次"生产密钥泄露"的桌面演练。
另外,在这篇文章有一份使用的 OpenClaw 安全建议:
89.2%攻击成功率!腾讯、字节研究发现 OpenClaw Agent 存在可利用结构性漏洞
最后
AI 正在拉平攻击者的能力差距。
有了 Claude Code 读代码和调 Bug,有了 OpenClaw 编排和自动化工作流,一个人就能运营一个媲美专业团伙的攻击平台。
AI 让攻击变得"更容易"。
这也能理解 Anthropic 最新推出的 Claude Mythos Preview 模型因其强大的网络攻防能力被限制公开发布,主要原因正是考虑发布后带的安全风险远超收益。
-END-
推荐阅读:
没人整理过的 DeepSeek 进化史:25篇论文里的技术蜕变
欢迎加入DeepSeek 技术社区。在这里,你可以找到志同道合的朋友,共同探索AI技术的奥秘。
更多推荐
8
0- 0
已为社区贡献14条内容
所有评论(0)