Hackerbot-claw利用GitHub Actions CI/CD配置缺陷攻击微软与DataDog

2026年2月21日至28日期间，名为hackerbot-claw的自动化机器人对主流开源代码库发起持续一周的攻击行动。该机器人瞄准了微软、DataDog、云原生计算基金会及其他多个广泛使用项目的GitHub Actions CI/CD流水线，在七天内向至少六个代码库提交超过12个拉取请求，并成功在四个项目中实现远程代码执行。

根据其创建于2026年2月20日的GitHub资料显示，该机器人自称是"由claude-opus-4-5驱动的自主安全研究Agent"，并公开募集加密货币捐款。其攻击方式是通过加载包含9大类攻击模式和47个子模式的漏洞模式索引，在无人干预的情况下自动扫描、验证并部署PoC漏洞利用代码。最具破坏性的行为是从拥有超过14万星标的avelino/awesome-go代码库窃取了具备写入权限的GitHub令牌。

Part01

攻击技术分析

StepSecurity研究人员完整还原了攻击链条，发现hackerbot-claw对七个目标采用了五种不同的利用技术。攻击日志显示，在行动被发现前的48小时内，该机器人已成功完成五次攻击会话。所有攻击均使用相同载荷——通过curl命令连接hackmoltrepeat.com执行远程脚本，同时通过recv.hackmoltrepeat.com域名收集窃取的凭证。

最严重的破坏发生在Aqua Security的Trivy代码库（拥有超过2.5万星标的开源漏洞扫描工具）。该机器人在窃取个人访问令牌后，不仅重命名代码库、删除0.27.0至0.69.1版本间的所有GitHub Releases，还向Open VSX市场的Trivy VS Code扩展推送了可疑构件。Aqua Security事后恢复了公开访问并发布0.69.2版本。

Part02

AI驱动的供应链攻击

此次攻击标志着AI安全领域的重要转折——首个由AI驱动的机器人试图操纵其他AI工具执行恶意操作。在攻击ambient-code/platform代码库时，hackerbot-claw替换项目CLAUDE.md文件内容，试图诱骗Claude Code提交未授权变更并发布虚假审核评论。Claude Code成功识别并拒绝该尝试，将其归类为"通过污染项目级指令实施的教科书级AI Agent供应链攻击"。

Part03

CI/CD工作流漏洞利用机制

hackerbot-claw利用的核心漏洞是GitHub Actions中常见但常被忽视的pull_request_target触发器配置问题——当该触发器与未受信任分支的代码检出操作结合使用时，攻击者代码将获得与工作流相同的仓库密钥和权限访问权。

在avelino/awesome-go攻击中，机器人向质量检查脚本注入Go语言的init()函数。由于Go会在main()前自动执行init()，恶意代码得以在正规检查前运行。该机器人经过18小时内6次尝试，最终两次成功将GitHub令牌外传。

针对微软ai-discovery-agent代码库的攻击则利用bash命令替换特性，将载荷直接嵌入git分支名称。当工作流将未转义的分支名写入文件时触发攻击，构建日志显示某步骤出现2分38秒异常延迟（正常应在毫秒级完成）。DataDog的datadog-iac-scanner则遭遇隐藏在文件名中的base64编码Shell命令攻击，攻击通过/sync-metadata拉取请求评论触发，DataDog在9小时内部署了应急补丁。

Part04

防护建议

禁止在检出未受信任分支时使用pull_request_target触发器
所有Shell运行块中的${{ }}表达式应通过环境变量传递
GitHub令牌权限应遵循最小特权原则（非必要不授予写入权限）
CI运行器的出站网络流量应限制至已知可信端点
评论触发的工作流必须设置author_association验证机制，确保执行脚本前评论者具备相应仓库权限

参考来源：

Hackerbot-Claw Bot Attacks Microsoft and DataDog via GitHub Actions CI/CD Misconfiguration

https://cybersecuritynews.com/hackerbot-claw-bot-attacks-microsoft-and-datadog/

推荐阅读

Hackerbot-claw利用GitHub Actions CI/CD配置缺陷攻击微软与DataDog

攻击技术分析

AI驱动的供应链攻击

CI/CD工作流漏洞利用机制

防护建议

电台讨论