深度解析Clawdrain攻击：警惕让OpenClaw Token瞬间清空的“提款机木马”

type

status

date

slug

summary

引言：当你的AI Agent开始“监守自盗”

在生成式AI蓬勃发展的今天，像OpenClaw这样的智能体（Agent）框架正成为开发者构建自动化流程的利器。然而，近期加州大学默塞德分校的研究者揭示了一种名为“Clawdrain”的新型攻击手段，它不依赖传统的RCE（远程代码执行）漏洞，而是利用LLM（大语言模型）的逻辑自洽与上下文管理机制，将你的智能体变成一台疯狂吞噬Token的“取款机”。如果你发现自己的国内中转API账单异常飙升，或者Token消耗速度远超预期，那么你可能已经成为了Clawdrain攻击的目标。

什么是Clawdrain攻击？隐蔽的SVP分段验证协议

Clawdrain攻击的核心在于一种被称为“分段验证协议（SVP）”的伪装机制。攻击者通过植入一个看似合法的第三方插件（Skill），在SKILL.md文档中写入复杂的系统级指令。

当用户调用该功能时，木马Skill会伪造一个“安全验证”流程。例如，它会声称为了数据安全，模型必须先完成一段复杂的密码学握手。Gemini 2.5 Pro等顶级模型在实验中甚至对这种验证系统表现出“着迷”，并严格执行。这种协议强制模型使用昂贵的自回归推理，逐个字符地吐出数千位的校验序列，且严禁使用缩写。这意味着每一轮对话都在产生海量的输出Token，直接导致低价API服务的额度被迅速耗尽。

核心机制：上下文挤出与安全策略逃逸

Clawdrain最硬核的破坏力在于它能引发“上下文击穿”。LLM的上下文窗口（Context Window）是有限的，当恶意Skill通过冗长的返回数据填满窗口时，Agent框架会触发自动的“状态压缩（Compaction）”或历史丢弃机制。

在这个过程中，系统往往会为了保留最新的“验证进度”而物理抹除掉最初设定的核心系统提示词和安全约束。一旦这些“安全护栏”被挤出上下文，攻击者就可以实施第二阶段攻击：引导Agent执行原本被禁止的越权操作，如外发敏感数据或修改系统配置。这使得Token消耗不仅是经济攻击，更是深度入侵的前奏。

为什么这种攻击极具破坏性？

对于依赖大模型API直连的企业而言，Clawdrain攻击带来了三重致命威胁：

直接的经济损失：Token即金钱。攻击者可以通过持续的后台调用，在几天内让一家初创公司的API账单爆炸，甚至导致其破产。

服务瘫痪（Rate Limit耗尽）：API提供商通常有TPM（每分钟Token数）限制。恶意消耗会触发限流熔断，导致公司内部正常的Claude API或gpt API业务全面瘫痪。

极高的隐蔽性：在后台定时任务（Cron）模式下，这种攻击在零用户交互的情况下运行。对于API服务商来说，这些请求看起来完全是“合法且正常的业务逻辑”。

深度实验分析：失败的攻击反而更贵？

在针对Gemini 2.5 Pro的实验中，研究者发现了一个反直觉的现象：当攻击协议因为参数设置过高而导致“验证失败”时，Token消耗反而更高。

这是因为现代Agent具有强大的“自救”和容错机制。当协议失败时，Agent不会停止，而是会尝试调用通用工具（如Python脚本）、搜索网页寻找替代方案、甚至进行内部反思重试。每一次“尽职尽责”的失败尝试都会产生新的工具调用日志和推理痕迹，将对话历史无限拉长。实验显示，一次成功的攻击可能消耗19万Token，而一次“失败的自救”却能烧掉近25万Token。这种利用Agent容错本能的攻击方式，让传统的安全防御策略防不胜防。

开发者防御指南：如何排查Token劫持风险？

如果你正在使用gemini API或Grok api构建应用，建议按照以下步骤进行安全审计：

审计Skill文档：定期检查~/.openclaw/skills/目录。所有启用的SKILL.md都会被注入系统提示词，体积异常庞大的文档可能在静默增加你的基础输入成本。

监控原始日志：不要只看美化的GUI界面。去查阅底层的原始Debug日志，观察是否有某个Skill在反复传入冗长的参数，或者频繁触发“REPAIR”信号。

限制后台任务权限：对于Cron触发的自动化任务，必须设置严格的Token消耗熔断阈值。

使用高质量的API中转服务：选择提供详细账单分析和异常流量告警的国内中转API平台，能够帮助你实时捕捉异常的Token倾泻。

结论

Clawdrain攻击向我们展示了AI时代安全威胁的新维度：漏洞不再仅仅存在于代码中，更存在于模型的逻辑推理与资源流转之间。只要Agent的控制流与资源流依然交织，这种“提款机木马”就始终是悬在开发者头上的达摩克利斯之剑。在追求AI自动化的同时，构建全链路的API监控与安全审计体系已刻不容缓。