会员服务
攻击 · 工具 · 令牌 · OpenClaw · 系统 ·
3 月 1 日
Clawdrain: Exploiting Tool-Calling Chains for Stealthy Token Exhaustion in OpenClaw Agents
翻译:Clawdrain:利用工具调用链实现OpenClaw智能体中隐蔽的令牌耗尽攻击
Ben Dong,Hui Feng,Qian Wang
Ben Dong,Hui Feng,Qian Wang

Modern generative agents such as OpenClaw - an open-source, self-hosted personal assistant with a community skill ecosystem, are gaining attention and are used pervasively. However, the openness and rapid growth of these ecosystems often outpace systematic security evaluation. In this paper, we design, implement, and evaluate Clawdrain, a Trojanized skill that induces a multi-turn "Segmented Verification Protocol" via injected SKILL.md instructions and a companion script that returns PROGRESS/REPAIR/TERMINAL signals. We deploy Clawdrain in a production-like OpenClaw instance with real API billing and a production model (Gemini 2.5 Pro), and we measure 6-7x token amplification over a benign baseline, with a costly, failure configuration reaching approximately 9x. We observe a deployment-only phenomenon: the agent autonomously composes general-purpose tools (e.g., shell/Python) to route around brittle protocol steps, reducing amplification and altering attack dynamics. Finally, we identify production vectors enabled by OpenClaw's architecture, including SKILL.md prompt bloat, persistent tool-output pollution, cron/heartbeat frequency amplification, and behavioral instruction injection. Overall, we demonstrate that token-drain attacks remain feasible in real deployments, but their magnitude and observability are shaped by tool composition, recovery behavior, and interface design.


翻译:以OpenClaw为代表的现代生成式智能体——一种具备社区技能生态系统的开源自托管个人助手——正日益受到关注并被广泛使用。然而,这些生态系统的开放性和快速增长往往超出了系统化安全评估的范畴。本文设计、实现并评估了Clawdrain,这是一种特洛伊木马式技能,通过注入的SKILL.md指令及返回PROGRESS/REPAIR/TERMINAL信号的伴生脚本,诱导智能体执行多轮次“分段验证协议”。我们在一个模拟生产环境的OpenClaw实例中部署了Clawdrain,该实例采用真实API计费和生产级模型(Gemini 2.5 Pro),实测令牌消耗量达到良性基线的6-7倍,在特定高成本故障配置下可达约9倍。我们观察到一个仅在生产部署中出现的现象:智能体自主组合通用工具(如shell/Python)以绕过脆弱的协议步骤,从而降低消耗放大效应并改变攻击动态。最后,我们识别出由OpenClaw架构启用的生产环境攻击向量,包括SKILL.md提示膨胀、持久性工具输出污染、定时任务/心跳频率放大以及行为指令注入。总体而言,本研究证明令牌耗尽攻击在实际部署中仍然可行,但其攻击规模和可观测性受到工具组合方式、恢复行为及接口设计的共同影响。
0
下载
关闭预览

相关内容

《ClaudeCode源码深度研究报告(增强完整版)》,下载链接
《ClaudeCode源码深度研究报告(增强完整版)》,下载链接
专知会员服务
39+阅读 · 4月1日
AI原生组织:OpenClaw推动组织形态重塑,47页pdf
AI原生组织:OpenClaw推动组织形态重塑,47页pdf
专知会员服务
24+阅读 · 3月27日
OpenClaw完全指南:从入门到精通|附629页PDF文件下载
OpenClaw完全指南:从入门到精通|附629页PDF文件下载
专知会员服务
88+阅读 · 3月14日
AI大模型·白皮书 | OpenClaw自我研究1.0报告-清新研究-66页
AI大模型·白皮书 | OpenClaw自我研究1.0报告-清新研究-66页
专知会员服务
65+阅读 · 3月7日
清华大学:OpenClaw发展研究1.0报告|附75页PDF文件下载
清华大学:OpenClaw发展研究1.0报告|附75页PDF文件下载
专知会员服务
121+阅读 · 3月6日
通用智能体评估的逻辑架构
通用智能体评估的逻辑架构
专知会员服务
21+阅读 · 2月28日
MMClaw 接入飞书实战:权限、长连接等设置(也适用于OpenClaw)
MMClaw 接入飞书实战:权限、长连接等设置(也适用于OpenClaw)
专知会员服务
15+阅读 · 2月14日
Claude3技术报告,全面升级多模态+百万Token上下窗口,中英文版
Claude3技术报告,全面升级多模态+百万Token上下窗口,中英文版
专知会员服务
75+阅读 · 2024年3月5日
【Science论文】《通过无模型多智能体强化学习掌握战略游戏(Stratego)》DeepMind重磅成果,58页论文
【Science论文】《通过无模型多智能体强化学习掌握战略游戏(Stratego)》DeepMind重磅成果,58页论文
专知会员服务
51+阅读 · 2023年4月15日
【ChatGPT系列报告】ChatGPT插件(Plugin)开启AI操作系统,28页pdf
【ChatGPT系列报告】ChatGPT插件(Plugin)开启AI操作系统,28页pdf
专知会员服务
115+阅读 · 2023年3月30日
OpenNRE 2.0:可一键运行的开源关系抽取工具包
OpenNRE 2.0:可一键运行的开源关系抽取工具包
PaperWeekly
22+阅读 · 2019年10月30日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
36+阅读 · 2019年10月23日
CALDERA 一款对手自动模拟工具
CALDERA 一款对手自动模拟工具
黑白之道
20+阅读 · 2019年9月17日
一键脱衣AI原理解密:开源算法,英伟达伯克利研究,不高深也不神秘
一键脱衣AI原理解密:开源算法,英伟达伯克利研究,不高深也不神秘
量子位
19+阅读 · 2019年7月2日
Dropout到底在干啥?看完这篇文章,你就知道了
Dropout到底在干啥?看完这篇文章,你就知道了
专知
25+阅读 · 2019年5月2日
AnDOSid - 适用于黑客的Android应用程序
AnDOSid - 适用于黑客的Android应用程序
黑白之道
11+阅读 · 2019年3月14日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
开源星际争霸2多智能体挑战smac
开源星际争霸2多智能体挑战smac
专知
17+阅读 · 2019年2月13日
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
AINLP
35+阅读 · 2018年11月6日
资源 | 清华大学开源OpenKE:知识表示学习平台
资源 | 清华大学开源OpenKE:知识表示学习平台
机器之心
10+阅读 · 2017年11月4日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
支持新产品快速设计的复杂产品系统功能模块化方法
国家自然科学基金
1+阅读 · 2015年12月31日
封闭型与开放型集成的数字微流控芯片中液滴驱动机制与操控研究
国家自然科学基金
0+阅读 · 2015年12月31日
可信工业控制系统中信任冷启动方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向智能穿戴设备的三维图形网格简化与渐进显示方法
国家自然科学基金
1+阅读 · 2015年12月31日
属性驱动的自适应多agent系统设计关键技术研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于势场法的多智能体系统鲁棒自适应刚性编队控制
国家自然科学基金
3+阅读 · 2015年12月31日
自检测型量子密钥分配研究
国家自然科学基金
0+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Malicious Or Not: Adding Repository Context to Agent Skill Classification
Arxiv
0+阅读 · 3月17日
Defensible Design for OpenClaw: Securing Autonomous Tool-Invoking Agents
Arxiv
0+阅读 · 3月13日
OpenClaw PRISM: A Zero-Fork, Defense-in-Depth Runtime Security Layer for Tool-Augmented LLM Agents
Arxiv
0+阅读 · 3月12日
Taming OpenClaw: Security Analysis and Mitigation of Autonomous LLM Agent Threats
Arxiv
0+阅读 · 3月12日
Beyond Max Tokens: Stealthy Resource Amplification via Tool Calling Chains in LLM Agents
Arxiv
0+阅读 · 3月11日
CLIOPATRA: Extracting Private Information from LLM Insights
Arxiv
0+阅读 · 3月10日
TokenCLIP: Token-wise Prompt Learning for Zero-shot Anomaly Detection
Arxiv
0+阅读 · 2月27日
OpenSage: Self-programming Agent Generation Engine
Arxiv
0+阅读 · 2月18日
A Trajectory-Based Safety Audit of Clawdbot (OpenClaw)
Arxiv
2+阅读 · 2月16日
DRAINCODE: Stealthy Energy Consumption Attacks on Retrieval-Augmented Code Generation via Context Poisoning
Arxiv
0+阅读 · 2月2日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
工具
令牌
OpenClaw
系统
最新内容
Palantir AIP平台:连接智能体与决策
Palantir AIP平台:连接智能体与决策
专知会员服务
7+阅读 · 今天1:22
《应急响应数字孪生:整合增强现实与实时位置数据的模拟辅助决策》技术报告
《应急响应数字孪生:整合增强现实与实时位置数据的模拟辅助决策》技术报告
专知会员服务
3+阅读 · 今天1:17
《通用基于模型的系统工程交会与接近操作任务规划器》130页
《通用基于模型的系统工程交会与接近操作任务规划器》130页
专知会员服务
4+阅读 · 今天1:12
对ARL-TR-9623报告《人机自主协同团队信任工具包(HAT³)软件开发文档与用户指南》的增补材料
对ARL-TR-9623报告《人机自主协同团队信任工具包(HAT³)软件开发文档与用户指南》的增补材料
专知会员服务
3+阅读 · 今天1:11
《美海军软件测试战略》90页slides
《美海军软件测试战略》90页slides
专知会员服务
7+阅读 · 今天1:00
ACL 2026 综述:从事后解释到内生解释,大模型内生可解释性的前沿进展
ACL 2026 综述:从事后解释到内生解释,大模型内生可解释性的前沿进展
专知会员服务
5+阅读 · 4月30日
【斯坦福博士论文】驾驭上下文内记忆与学习的质量—效率权衡
【斯坦福博士论文】驾驭上下文内记忆与学习的质量—效率权衡
专知会员服务
5+阅读 · 4月30日
面向具身智能与机器人仿真的三维生成:综述
面向具身智能与机器人仿真的三维生成:综述
专知会员服务
6+阅读 · 4月30日
《未来打击作战中有人-无人协同的扩展杀伤链分析》130页
《未来打击作战中有人-无人协同的扩展杀伤链分析》130页
专知会员服务
15+阅读 · 4月30日
《人工智能在全球军事与武器工业中的应用、方法论与影响》
《人工智能在全球军事与武器工业中的应用、方法论与影响》
专知会员服务
7+阅读 · 4月30日
《“史诗怒火”行动中美军平台的战略协同:基于开源数据的网络分析》200页报告
《“史诗怒火”行动中美军平台的战略协同:基于开源数据的网络分析》200页报告
专知会员服务
12+阅读 · 4月30日
美国力量的新架构:Anduril、Palantir、SpaceX 与美国军工格局的转型
美国力量的新架构:Anduril、Palantir、SpaceX 与美国军工格局的转型
专知会员服务
7+阅读 · 4月30日
机器人领域中的视觉-语言-动作模型:数据集、基准测试与数据引擎综述
机器人领域中的视觉-语言-动作模型:数据集、基准测试与数据引擎综述
专知会员服务
8+阅读 · 4月29日
主权智能前沿:战略霸权与算法战争代差的比较分析——第二部分
主权智能前沿:战略霸权与算法战争代差的比较分析——第二部分
专知会员服务
7+阅读 · 4月29日
万亿美元智能竞赛:OpenAI的主权崛起与数字神经系统的高风险博弈——第一部分
万亿美元智能竞赛:OpenAI的主权崛起与数字神经系统的高风险博弈——第一部分
专知会员服务
6+阅读 · 4月29日
相关VIP内容
《ClaudeCode源码深度研究报告(增强完整版)》,下载链接
《ClaudeCode源码深度研究报告(增强完整版)》,下载链接
专知会员服务
39+阅读 · 4月1日
AI原生组织:OpenClaw推动组织形态重塑,47页pdf
AI原生组织:OpenClaw推动组织形态重塑,47页pdf
专知会员服务
24+阅读 · 3月27日
OpenClaw完全指南:从入门到精通|附629页PDF文件下载
OpenClaw完全指南:从入门到精通|附629页PDF文件下载
专知会员服务
88+阅读 · 3月14日
AI大模型·白皮书 | OpenClaw自我研究1.0报告-清新研究-66页
AI大模型·白皮书 | OpenClaw自我研究1.0报告-清新研究-66页
专知会员服务
65+阅读 · 3月7日
清华大学:OpenClaw发展研究1.0报告|附75页PDF文件下载
清华大学:OpenClaw发展研究1.0报告|附75页PDF文件下载
专知会员服务
121+阅读 · 3月6日
通用智能体评估的逻辑架构
通用智能体评估的逻辑架构
专知会员服务
21+阅读 · 2月28日
MMClaw 接入飞书实战:权限、长连接等设置(也适用于OpenClaw)
MMClaw 接入飞书实战:权限、长连接等设置(也适用于OpenClaw)
专知会员服务
15+阅读 · 2月14日
Claude3技术报告,全面升级多模态+百万Token上下窗口,中英文版
Claude3技术报告,全面升级多模态+百万Token上下窗口,中英文版
专知会员服务
75+阅读 · 2024年3月5日
【Science论文】《通过无模型多智能体强化学习掌握战略游戏(Stratego)》DeepMind重磅成果,58页论文
【Science论文】《通过无模型多智能体强化学习掌握战略游戏(Stratego)》DeepMind重磅成果,58页论文
专知会员服务
51+阅读 · 2023年4月15日
【ChatGPT系列报告】ChatGPT插件(Plugin)开启AI操作系统,28页pdf
【ChatGPT系列报告】ChatGPT插件(Plugin)开启AI操作系统,28页pdf
专知会员服务
115+阅读 · 2023年3月30日
热门VIP内容
相关资讯
OpenNRE 2.0:可一键运行的开源关系抽取工具包
OpenNRE 2.0:可一键运行的开源关系抽取工具包
PaperWeekly
22+阅读 · 2019年10月30日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
36+阅读 · 2019年10月23日
CALDERA 一款对手自动模拟工具
CALDERA 一款对手自动模拟工具
黑白之道
20+阅读 · 2019年9月17日
一键脱衣AI原理解密:开源算法,英伟达伯克利研究,不高深也不神秘
一键脱衣AI原理解密:开源算法,英伟达伯克利研究,不高深也不神秘
量子位
19+阅读 · 2019年7月2日
Dropout到底在干啥?看完这篇文章,你就知道了
Dropout到底在干啥?看完这篇文章,你就知道了
专知
25+阅读 · 2019年5月2日
AnDOSid - 适用于黑客的Android应用程序
AnDOSid - 适用于黑客的Android应用程序
黑白之道
11+阅读 · 2019年3月14日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
开源星际争霸2多智能体挑战smac
开源星际争霸2多智能体挑战smac
专知
17+阅读 · 2019年2月13日
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
AINLP
35+阅读 · 2018年11月6日
资源 | 清华大学开源OpenKE:知识表示学习平台
资源 | 清华大学开源OpenKE:知识表示学习平台
机器之心
10+阅读 · 2017年11月4日
相关论文
Malicious Or Not: Adding Repository Context to Agent Skill Classification
Arxiv
0+阅读 · 3月17日
Defensible Design for OpenClaw: Securing Autonomous Tool-Invoking Agents
Arxiv
0+阅读 · 3月13日
OpenClaw PRISM: A Zero-Fork, Defense-in-Depth Runtime Security Layer for Tool-Augmented LLM Agents
Arxiv
0+阅读 · 3月12日
Taming OpenClaw: Security Analysis and Mitigation of Autonomous LLM Agent Threats
Arxiv
0+阅读 · 3月12日
Beyond Max Tokens: Stealthy Resource Amplification via Tool Calling Chains in LLM Agents
Arxiv
0+阅读 · 3月11日
CLIOPATRA: Extracting Private Information from LLM Insights
Arxiv
0+阅读 · 3月10日
TokenCLIP: Token-wise Prompt Learning for Zero-shot Anomaly Detection
Arxiv
0+阅读 · 2月27日
OpenSage: Self-programming Agent Generation Engine
Arxiv
0+阅读 · 2月18日
A Trajectory-Based Safety Audit of Clawdbot (OpenClaw)
Arxiv
2+阅读 · 2月16日
DRAINCODE: Stealthy Energy Consumption Attacks on Retrieval-Augmented Code Generation via Context Poisoning
Arxiv
0+阅读 · 2月2日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
支持新产品快速设计的复杂产品系统功能模块化方法
国家自然科学基金
1+阅读 · 2015年12月31日
封闭型与开放型集成的数字微流控芯片中液滴驱动机制与操控研究
国家自然科学基金
0+阅读 · 2015年12月31日
可信工业控制系统中信任冷启动方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向智能穿戴设备的三维图形网格简化与渐进显示方法
国家自然科学基金
1+阅读 · 2015年12月31日
属性驱动的自适应多agent系统设计关键技术研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于势场法的多智能体系统鲁棒自适应刚性编队控制
国家自然科学基金
3+阅读 · 2015年12月31日
自检测型量子密钥分配研究
国家自然科学基金
0+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top