V posledních několika letech přestal být „AI agent“ marketingovou frází a začal být skutečným pracovním postupem: asistentem, který dokáže číst vaše soubory, otevírat prohlížeč, spouštět příkazy a spojovat akce napříč službami. To je slib.
Problém je v tom, žeenergie má distribuční kanálA tento kanál se stále častěji nazývádovednost: malý, sdílitelný balíček „návodů“, který agenta (a často i uživatele) naučí, jak provést úkol. Pro agenty je to moment obchodu s aplikacemi – až na to, že „aplikace“ jsou častoinstrukce pro snižování ceny.
Zprávy z tohoto týdne o škodlivých dovednostech OpenClaw jsou včasným a velmi jasným signálem, že se chystáme zopakovat historii dodavatelského řetězce open-source – ale s jedním zvratem: místo otravy kompilované závislosti mohou útočníci otrávitdokumentacea využít ochotu agenta jako lubrikant.
Níže je uveden praktický návod, co se stalo, proč to funguje tak dobře a co s tím můžete dělat.
Co jsou dovednosti OpenClaw (a proč jsou důležité)
OpenClaw zpopularizoval jednoduchý rozšiřující model: přidáním „dovednosti“, která vysvětluje, jak provést úzký úkol – publikovat příspěvky na sociálních sítích, čistit složky, shrnout zprávu, automatizovat pracovní postup – agent získá novou schopnost.
V širším ekosystému „dovedností agentů“ je dovednost obvykle složkou vytvořenou kolemSKILL.mdsoubor. Tento soubor obsahuje:
- Metadata(název / popis)
- Instrukce(skutečné kroky)
- Volitelně:skriptya další sdružená aktiva
To zní neškodně, protože to vypadá jako dokumentace. Ale dokumentace je přesně to, co lidé rychle sledují, zvláště když vypadá jako seznam předpokladů nebo instalační průvodce.
Dovednosti mají také dynamiku „vítěz bere vše“: lidé tíhnou k tomu, co je populární, co je nové a co vypadá, že ušetří čas. Díky tomu je veřejný trh s dovednostmi vysoce hodnotným cílem: snížíte počet nejčastěji stahovaných souborů a můžete oslovit koncentrovanou skupinu zkušených uživatelů – vývojáře, operátory a kohokoli, kdo má na svém počítači cenné reference.
Hlavní trik: markdown už není „obsah“ – je to instalační program
Tradiční útoky v rámci dodavatelského řetězce softwaru často vyžadují technické investice: zmatky v závislosti, překlepy, škodlivé skripty po instalaci, udržování kontroly nad názvem balíčku a vyhýbání se skenerům.
Trh s dovednostmi snižuje laťku.
Škodlivá dovednost může udělat něco tak jednoduchého, jako je toto:
- Představte věrohodný nástroj („dovednost Twitteru“, „sledovač kryptoměn“, „pomocník pro automatizaci“).
- Přidejte sekci „Předpoklady“ s „požadovanou závislostí“.
- Uveďte praktický odkaz a jednořádkový příkaz.
- Spolehněte se na to, že to provede člověk (nebo agent).
To není nová myšlenka sociálního inženýrství – používá se už léta – ale pracovní postupy agentůzesilovatto:
- Agenti s jistotou shrnují dokumenty („Stačí spustit toto pro instalaci závislosti“).
- Agenti snižují tření tím, že za vás vygenerují příkaz.
- V některých nastaveních mohou agenti sami spouštět příkazy shellu.
V tomto okamžiku se „dokumentace“ stává cestou vzdáleného spuštění.
Co se podle zpráv stalo v ekosystému OpenClaw
Několik článků popisuje kampaň, v níž útočníci nahráli na tržiště ClawHub velké množství škodlivých dovedností a pomocí „kroků nastavení“ distribuovali malware k krádeži informací.
Podle Jasona Mellera z 1Passwordu zahrnovala nejčastěji stahovaná dovednost instrukce, které nasměrovaly uživatele do postupného řetězce doručování: odkaz na „závislost“, zahalený příkaz a poté náklad, který nakonec nainstaloval program pro zkrádání informací určený k útoku na počítač a získání cenných tajných informací.
CyberInsider s odvoláním na výzkum společnosti Koi Security popisuje podobný vzorec ve velkém měřítku: trojské koně s „předpoklady“, které uživatelům nařizují spouštět obfusované shellové skripty nebo stahovat archivy chráněné heslem, vrcholících v podobě malwaru, jako je Atomic macOS Stealer (AMOS) – rodina malwaru spojená s krádeží přihlašovacích údajů a cílením na peněženky.
Zda se přesné počty mezi jednotlivými zprávami liší,tvarje konzistentní:
- Dovednosti používané jako distribuce
- „Předpokladní“ instrukce použité k přesvědčování
- Zloději informací používaní jako konečný cíl
Na tomto konečném cíli záleží: moderním zlodějům informací nejde o jedno heslo – jde jim o…tokeny relace,profily prohlížeče,SSH klíče,cloudové přihlašovací údajeakrypto peněženkyJinými slovy: věci, které promění jeden kompromitovaný notebook v širší kompromis.
Proč agenti dělají tento podvodný odkaz ke stažení horším způsobem než běžný odkaz ke stažení
Pokud jste si někdy pomysleli: „Na to bych nenaletěl/a,“ pravděpodobně máte pravdu, když jste klidní a skeptičtí.
Ale pracovní postupy agentů mění kontext:
- Rychlost se stává výchozím nastavením.Používáte agenta, protože chcete jednat rychle.
- Kognitivní zátěž je outsourcována.Agent promění chaotickou stránku s pokyny v sebevědomý kontrolní seznam.
- Autorita je vypůjčená.Pokud agent řekne „Toto je standardní závislost“, působí to jako ověřený proces.
Jinými slovy: agent nemusí být technicky „oklamán“. Stačí, aby byl přítomen, když jste pobízeni k riskantní věci. To stačí k tomu, aby se chování změnilo.
A pokud vydělatPokud agentovi umožníte spouštět příkazy přímo, může se škodlivá dovednost stát „hands-free kompromitací“.
„Ale co MCP? Nemá to snad zvýšit bezpečnost nástrojů?“
Protokol kontextu modelu (MCP) je skutečným krokem vpřed ve strukturování přístupu k nástrojům. Standardizuje způsob, jakým hostitelé zpřístupňují nástroje, zdroje a výzvy, a klade důraz na souhlas a kontrolu uživatele.
MCP však „dovednosti“ magicky nedělá bezpečnými.
Proč?
- Dovednosti mohou uživatelům nařídit spouštění příkazů mimo hranice MCP.
- Dovednosti mohou odkazovat na skripty nebo soubory ke stažení, které se nikdy nedotýkají MCP.
- Ne každá dovednost vůbec používá MCP.
MCP může pomoci, když hostitel implementuje silné oprávnění, jasné výzvy k souhlasu, protokolování a bezpečné výchozí hodnoty. Distribuční mechanismus založený na snižování cen jej však stále může obejít pomocí obyčejného sociálního inženýrství.
Toto je agentská verze zabezpečení dodavatelského řetězce (a už jsme o tom byli)
Svět softwaru se tvrdě naučil, že:
- Populární registry jsou zneužívány.
- Typosquatting funguje.
- „Nainstalovat tohoto pomocníka“ je běžný vstupní bod.
- Nejcennějšími oběťmi jsou ti, kteří věci staví.
Tržiště dovedností kombinuje tyto poznatky se dvěma novými akcelerátory:
- „Balíček“ může být instrukce, nikoli kód – a instrukce se hůře spolehlivě skenují.
- Běhové prostředí je bohaté na přihlašovací údajezáměrně: prohlížeče přihlašované do všeho, terminály s SSH klíči, cloudové CLI, správci hesel a lokální soubory.
V jistém smyslu je tržiště dovedností obchod s aplikacemi, kde si nejlepší aplikace mohou říct: „Zkopírujte a vložte toto do Terminálu, abyste funkci povolili.“ To není problém řešitelný jedním zaškrtávacím políčkem.
Praktická obrana (pro běžné uživatele)
Pokud experimentujete s agentem, který má lokální přístup, musíte s ním zacházet jako s novým uživatelem operačního systému se superschopnostmi.
Zde je pragmatický základ:
- Použijte vyhrazený počítač nebo virtuální počítačpro experimenty s agenty. Žádné uložené firemní přihlašovací údaje. Žádné produkční SSH klíče. Žádné relace cloudové administrace.
- U jednořádkových instalačních programů je výchozí nastavení „ne“.Zvláště cokoli, co se zkracuje do sh, používá base64 nebo vás žádá o odstranění ochran operačního systému.
- Nevěřte „nejstahovanějším“.Popularita je růstový hack, nikoli bezpečnostní model.
- Pokud jste už něco spustili, střídejte to, co je důležité, jako první.Relace prohlížeče, SSH klíče, API tokeny, cloudové klíče.
- Preferujte dovednosti, které jsou kontrolovatelné a ověřitelné(Git repozitáře s historií, známými správci, jasným původem).
Co by měly tržiště dělat (pokud chtějí přežít)
Pokud provozujete veřejný registr dovedností, provozujete útočnou plochu.
Několik praktických kroků, které smysluplně zvýší náklady útočníka:
- Reputace a původ vydavatele(ověřené identity, historie, podepisování).
- Automatizované skenovánípro podezřelé vzorce (kódované datové části, zahalené jednořádkové hlášky, odstranění z karantény, archivy chráněné heslem, „závislost na instalaci jádra“ s odkazy mimo web).
- Varování Tření uživatelského rozhranípro externí odkazy a příkazy shellu.
- Rychlé odstranění a viditelná reakce na incident(zacházejte s tím jako s obchodem s aplikacemi, ne jako s Pastebinem).
Nic z toho není dokonalé, ale kupují čas – a čas je přesně to, co obránci potřebují.
Co by měli tvůrci agentů předpokládat do budoucna
Pokud vytváříte samotné běhové prostředí agenta, předpokládejte, že dovednosti budou vyzbrojeny.
To znamená:
- Spuštění příkazu Default-Den(vyžaduje souhlas s každým příkazem, nikoli jednorázové přepínání).
- Silné sandboxovánípro přístup k souborovému systému a prohlížeči.
- Omezená, časově omezená oprávněnís jednoduchým odvoláním.
- Auditovatelné protokolytoho, co agent přečetl a co provedl.
Konečný stav je stejným směrem, jakým se cloud ubíral před lety: identita, zásady, minimální oprávnění a auditní záznamy – ale omezený na úroveň pracovních stanic.
Sečteno a podtrženo
Příběh o dovednostech v OpenClaw není jen o tom, že „někteří lidé nahráli malware“. Je to ukázka dalšího bojiště dodavatelského řetězce:dovednosti jako distribuce, markdown jako realizační cesta a agenti jako akcelerátor.
Pokud mají agenti žít na našich osobních i pracovních strojích, ekosystém potřebuje vrstvu důvěryhodnosti, která bude s tržišti dovedností zacházet jako s obchody s aplikacemi, s dokumentací jako s kódem a s „užitečnou automatizací“ bude zacházet jako s privilegovanou operací – nikoli jako s běžnou pohodlností.
Zdroje
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18