عندما تصبح "المهارات" هي سلسلة التوريد: جرس إنذار بشأن البرمجيات الخبيثة في سوق OpenClaw

في العامين الماضيين، لم يعد مصطلح "الوكيل الذكي" مجرد عبارة تسويقية، بل أصبح جزءًا لا يتجزأ من سير العمل الحقيقي: مساعد قادر على قراءة ملفاتك، وفتح متصفحك، وتنفيذ الأوامر، وربط الإجراءات عبر مختلف الخدمات. هذا هو الوعد.

المشكلة هي أنللكهرباء قناة توزيعويُطلق على تلك القناة بشكل متزايد اسممهارةحزمة صغيرة قابلة للمشاركة تُعلّم الوكيل (وأحيانًا المستخدم) كيفية إنجاز مهمة ما. إنها لحظة متاجر التطبيقات للوكلاء - باستثناء أن "التطبيقات" غالبًا ما تكونتعليمات التنسيق.

تُعدّ تقارير هذا الأسبوع حول مهارات OpenClaw الخبيثة إشارة مبكرة وقوية للغاية إلى أننا على وشك تكرار تاريخ سلاسل التوريد مفتوحة المصدر، ولكن مع اختلاف: فبدلاً من تسميم تبعية مُجمّعة، يمكن للمهاجمين تسميمها.الوثائقواستخدم مساعدة الوكيل كعامل مساعد.

فيما يلي شرح عملي لما حدث، ولماذا يعمل بشكل جيد للغاية، وما يمكنك فعله حيال ذلك.

ما هي مهارات OpenClaw (ولماذا هي مهمة)

لقد شاع استخدام نموذج الإضافة البسيط في OpenClaw: قم بإضافة "مهارة" تشرح كيفية القيام بمهمة محددة - النشر على وسائل التواصل الاجتماعي، وتنظيف المجلدات، وتلخيص تقرير، وأتمتة سير العمل - وبذلك يكتسب الوكيل قدرة جديدة.

في النظام البيئي الأوسع لـ "مهارات الوكيل"، عادةً ما تكون المهارة عبارة عن مجلد مبني حولSKILL.mdملف. يحتوي هذا الملف على:

  • البيانات الوصفية(الاسم / الوصف)
  • تعليمات(الخطوات الفعلية)
  • اختياري:البرامج النصيةوغيرها من الأصول المجمعة

يبدو هذا الأمر غير ضار لأنه يبدو كوثيقة. لكن الوثائق هي بالضبط ما يتبعه الناس بسرعة، خاصةً عندما تبدو كقائمة متطلبات مسبقة أو دليل تثبيت.

تتسم المهارات أيضاً بديناميكية "الفائز يستحوذ على كل شيء": ينجذب الناس إلى ما هو شائع، وما هو جديد، وما يبدو أنه سيوفر الوقت. وهذا ما يجعل سوق المهارات العامة هدفاً قيماً للغاية: فبمجرد التنازل عن بعض التطبيقات الأكثر تحميلاً، يمكنك الوصول إلى مجموعة مركزة من المستخدمين المتميزين - المطورين، والمشغلين، وأي شخص لديه مؤهلات قيّمة مخزنة على جهازه.

الحيلة الأساسية: لم يعد Markdown "محتوى" - بل أصبح برنامج تثبيت

غالباً ما تتطلب هجمات سلسلة توريد البرامج التقليدية استثماراً تقنياً: الارتباك في التبعيات، والتلاعب بالأسماء، والبرامج النصية الخبيثة التي يتم تثبيتها بعد التثبيت، والحفاظ على التحكم في اسم الحزمة، وتجنب الماسحات الضوئية.

إن سوق المهارات يخفض مستوى التحدي.

يمكن لمهارة خبيثة أن تفعل شيئًا بسيطًا كهذا:

  1. قدم أداة معقولة ("مهارة تويتر"، "متتبع العملات المشفرة"، "مساعد الأتمتة").
  2. أضف قسم "المتطلبات الأساسية" مع "التبعية المطلوبة".
  3. قم بتوفير رابط مناسب وأمر من سطر واحد.
  4. الاعتماد على الإنسان (أو الوكيل) لتنفيذ ذلك.

ليست هذه فكرة جديدة في الهندسة الاجتماعية - فقد تم استخدامها لسنوات - ولكن سير عمل الوكلاءأسهبهو - هي:

  • يلخص العملاء الوثائق بثقة ("ما عليك سوى تشغيل هذا لتثبيت التبعية").
  • تعمل البرامج المساعدة على تقليل الاحتكاك من خلال إنشاء الأمر نيابةً عنك.
  • في بعض الإعدادات، يمكن للوكلاء تشغيل أوامر النظام بأنفسهم.

عند هذه النقطة، تصبح "التوثيق" مسار تنفيذ بعيد.

ما الذي تشير إليه التقارير بشأن ما حدث في بيئة OpenClaw؟

تصف العديد من التقارير حملة قام فيها المهاجمون بتحميل أعداد كبيرة من المهارات الخبيثة إلى سوق ClawHub واستخدموا "خطوات الإعداد" لتوصيل البرامج الضارة لسرقة المعلومات.

وفقًا لجيسون ميلر من شركة 1Password، تضمنت إحدى المهارات الأكثر تنزيلًا تعليمات توجه المستخدمين إلى سلسلة تسليم مرحلية: رابط إلى "تبعية"، وأمر مبهم، ثم حمولة تقوم في النهاية بتثبيت برنامج لسرقة المعلومات مصمم لنهب الجهاز للحصول على أسرار قيمة.

يصف موقع CyberInsider، نقلاً عن بحث أجرته شركة Koi Security، نمطًا مشابهًا على نطاق واسع: مهارات مخترقة ببرامج ضارة مع "متطلبات مسبقة" توجه المستخدمين لتشغيل نصوص برمجية مشوشة أو تنزيل أرشيفات محمية بكلمة مرور، مما يؤدي إلى حمولات مثل Atomic macOS Stealer (AMOS) - وهي عائلة من البرامج الضارة المرتبطة بسرقة بيانات الاعتماد واستهداف المحافظ الإلكترونية.

بغض النظر عن اختلاف الأعداد الدقيقة بين التقارير،شكلمتسق:

  • المهارات المستخدمة في التوزيع
  • تُستخدم تعليمات "المتطلبات الأساسية" كوسيلة للإقناع
  • يُستخدم سارقو المعلومات كهدف نهائي

هذا الهدف النهائي مهم: فمجرمو سرقة المعلومات المعاصرون لا يسعون وراء كلمة مرور واحدة، بل يسعون وراءرموز الجلسة،ملفات تعريف المتصفح،مفاتيح SSH،بيانات اعتماد السحابة، ومحافظ العملات المشفرةبمعنى آخر: الأشياء التي تحول جهاز كمبيوتر محمول واحد مخترق إلى اختراق أوسع.

إذا فكرت يوماً، "لن أنخدع بذلك"، فربما تكون محقاً عندما تكون هادئاً ومتشككاً.

لكن سير عمل الوكلاء يغير السياق:

  • تصبح السرعة هي الوضع الافتراضي.أنت تستخدم وكيلًا لأنك تريد التحرك بسرعة.
  • يتم الاستعانة بمصادر خارجية لتحمل العبء المعرفي.يحوّل الوكيل صفحة التعليمات الفوضوية إلى قائمة تحقق واثقة.
  • السلطة مستعارة.إذا قال الوكيل "هذا هو الشرط القياسي"، فإنه يبدو وكأنه تم التحقق منه.

بمعنى آخر: لا يحتاج البرنامج إلى "خداع" بالمعنى التقني. يكفي أن يكون حاضرًا أثناء حثّك على القيام بأمر محفوف بالمخاطر. هذا كافٍ لتغيير سلوكك.

وإذا كنتيفعلإذا سمح البرنامج الوكيل بتشغيل الأوامر مباشرة، فقد تصبح المهارة الخبيثة "اختراقًا بدون استخدام اليدين".

"ولكن ماذا عن MCP؟ أليس من المفترض أن يجعل ذلك الأدوات أكثر أمانًا؟"

يُعد بروتوكول سياق النموذج (MCP) خطوة حقيقية إلى الأمام في هيكلة الوصول إلى الأدوات. فهو يُوحّد كيفية عرض المضيفين للأدوات والموارد والمطالبات، ويؤكد على موافقة المستخدم وتحكمه.

ومع ذلك، فإن نظام MCP لا يجعل "المهارات" آمنة بشكل سحري.

لماذا؟

  • يمكن للمهارات أن توجه المستخدمين لتشغيل الأوامر خارج حدود MCP.
  • يمكن ربط المهارات ببرامج نصية أو تنزيلات لا تتصل أبدًا بـ MCP.
  • لا تستخدم كل المهارات نظام MCP على الإطلاق.

يمكن أن يساعد بروتوكول MCP عندما يطبق المضيف نظام أذونات قوي، وطلبات موافقة واضحة، وتسجيلًا للأحداث، وإعدادات افتراضية آمنة. لكن آلية التوزيع القائمة على لغة Markdown لا تزال قادرة على تجاوز ذلك من خلال أساليب الهندسة الاجتماعية التقليدية.

هذا هو الإصدار الخاص بالوكلاء لأمن سلسلة التوريد (وقد مررنا بهذا من قبل).

لقد تعلم عالم البرمجيات بالطريقة الصعبة ما يلي:

  • تتعرض السجلات الشائعة للإساءة.
  • يُجدي انتحال صفة كاتبٍ ما.
  • "قم بتثبيت هذه الأداة المساعدة" هي نقطة دخول شائعة.
  • أكثر الضحايا قيمة هم أولئك الذين يبنون الأشياء.

تجمع منصات تنمية المهارات بين تلك الدروس وعاملين جديدين مسرّعين:

  1. يمكن أن تكون "الحزمة" عبارة عن تعليمات، وليس الكود - والتعليمات يصعب مسحها ضوئياً بشكل موثوق.
  2. بيئة التشغيل غنية ببيانات الاعتمادبحسب التصميم: متصفحات مسجلة الدخول إلى كل شيء، وأجهزة طرفية مزودة بمفاتيح SSH، وواجهات سطر أوامر سحابية، وبرامج إدارة كلمات المرور، وملفات محلية.

بمعنى ما، سوق المهارات هو متجر تطبيقات حيث يُسمح لأفضل التطبيقات أن تقول "انسخ هذا والصقه في Terminal لتفعيل الميزة". هذه ليست مشكلة قابلة للحل بمجرد تحديد خانة اختيار واحدة.

وسائل الحماية العملية (للمستخدمين العاديين)

إذا كنت تجرّب برنامجًا لديه إمكانية الوصول المحلي، فأنت بحاجة إلى التعامل معه كمستخدم جديد لنظام التشغيل يتمتع بقدرات خارقة.

إليكم الأساس العملي:

  1. استخدم جهازًا مخصصًا أو جهازًا افتراضيًالتجارب الوكلاء. لا توجد بيانات تسجيل دخول محفوظة للشركات. لا توجد مفاتيح SSH للإنتاج. لا توجد جلسات إدارة سحابية.
  2. يتم ضبط الخيار الافتراضي على "لا" في برامج التثبيت ذات السطر الواحد.وخاصة أي شيء يقوم بتوجيه curl إلى sh، أو يستخدم base64، أو يطلب منك إزالة حمايات نظام التشغيل.
  3. لا تثق بـ "الأكثر تنزيلاً".الشعبية هي وسيلة للنمو السريع، وليست نموذجاً أمنياً.
  4. قم بتدوير ما يهم أولاً إذا كنت قد قمت بتشغيل شيء ما بالفعل.جلسات المتصفح، مفاتيح SSH، رموز API، مفاتيح السحابة.
  5. يفضل امتلاك مهارات تخضع للتحكم في المصدر وقابلة للمراجعة(مستودعات Git ذات تاريخ، ومطورين معروفين، وأصل واضح).

ما الذي ينبغي على الأسواق الإلكترونية فعله (إذا أرادت البقاء)؟

إذا كنت تدير سجل مهارات عام، فأنت تدير سطحًا للهجوم.

بعض الخطوات العملية التي تزيد بشكل ملحوظ من تكلفة المهاجم:

  • سمعة الناشر ومصدره(هويات موثقة، تاريخ، توقيع).
  • المسح الآليبالنسبة للأنماط المشبوهة (الحمولات المشفرة، والأسطر البرمجية المبهمة، وإزالة الحجر الصحي، والأرشيفات المحمية بكلمة مرور، و"تثبيت التبعية الأساسية" مع روابط خارجية).
  • تحذير: احتكاك واجهة المستخدمللروابط الخارجية وأوامر سطر الأوامر.
  • إزالة سريعة واستجابة واضحة للحوادث(تعامل معه كمتجر تطبيقات، وليس كموقع مشاركة النصوص).

لا شيء من هذه الحلول مثالي، لكنها تمنح الوقت - والوقت هو ما يحتاجه المدافعون.

ما الذي ينبغي على مطوري برامج الوكلاء افتراضه في المستقبل؟

إذا كنت تقوم ببناء وقت تشغيل الوكيل نفسه، فافترض أن المهارات ستُستخدم كسلاح.

وهذا يعني:

  • تنفيذ أمر الرفض الافتراضي(يتطلب موافقة لكل أمر، وليس عمليات تبديل لمرة واحدة وإلى الأبد).
  • بيئة اختبار قويةللوصول إلى نظام الملفات والمتصفح.
  • أذونات محددة النطاق والمدةمع إمكانية الإلغاء بسهولة.
  • سجلات قابلة للتدقيقما قرأه العميل وما نفذه.

إن النتيجة النهائية هي نفس الاتجاه الذي اتخذته الحوسبة السحابية منذ سنوات: الهوية، والسياسة، وأقل الامتيازات، وسجلات التدقيق - ولكن تم نقلها إلى مستوى محطة العمل.

خلاصة القول

قصة مهارات OpenClaw ليست مجرد "بعض الأشخاص قاموا بتحميل برامج ضارة". إنها بمثابة معاينة لساحة معركة سلسلة التوريد القادمة:المهارات كأداة للتوزيع، و Markdown كمسار للتنفيذ، والوكلاء كمسرّع.

إذا كان من المقرر أن تعمل البرامج الآلية على أجهزتنا الشخصية وأجهزة العمل، فإن النظام البيئي يحتاج إلى طبقة ثقة تعامل أسواق المهارات مثل متاجر التطبيقات، وتعامل الوثائق مثل التعليمات البرمجية، وتعامل "الأتمتة المفيدة" كعملية مميزة - وليست مجرد تسهيلات عادية.


مصادر

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
العربية