npm供应链攻击恶意npm包cline@2.3.0在postinstall中植入命令强装OpenClaw → 影响4000次下载 → AI分类机器人被骗执行最后更新: 2026-03-12发布时间: 2026-03-12核心知识点恶意npm包通过postinstall钩子静默安装OpenClaw,利用了npm生态信任链弱点攻击者通过GitHub提示信息欺骗AI分类机器人,展示了AI审核系统的提示注入风险标签: OpenClaw, 安全, 供应链, npm关联知识Skill生态安全 (cross_domain)伪造安装包攻击 (see_also)同主题节点Agent自主失控事件CVE漏洞汇总伪造安装包攻击Agent失控追责行业标准编制