Når 'færdigheder' bliver forsyningskæden: OpenClaw-markedspladsens malware-vågneopkald

I løbet af de sidste par år er "AI-agent" holdt op med at være et marketingudtryk og er begyndt at blive en rigtig arbejdsgang: en assistent, der kan læse dine filer, åbne din browser, køre kommandoer og sammensætte handlinger på tværs af tjenester. Det er løftet.

Problemet er, atstrøm har en distributionskanalOg den kanal kaldes i stigende grad endygtighed: en lille, delbar "vejledningspakke", der lærer en agent (og ofte brugeren), hvordan man udfører en opgave. Det er app store-øjeblikket for agenter - bortset fra at "apps" ofte erinstruktioner om nedsættelse.

Denne uges rapporter om ondsindede OpenClaw-færdigheder er et tidligt, meget højlydt signal om, at vi er ved at gentage open source-forsyningskædens historie – men med et twist: i stedet for at forgifte en kompileret afhængighed kan angribere forgiftedokumentationog brug agentens hjælpsomhed som smøremiddel.

Nedenfor er en praktisk forklaring på, hvad der skete, hvorfor det fungerer så godt, og hvad du kan gøre ved det.

Hvad OpenClaw-færdigheder er (og hvorfor de er vigtige)

OpenClaw populariserede en simpel udvidelsesmodel: indsættelse af en "færdighed", der forklarer, hvordan man udfører en snæver opgave - poste på sociale medier, rydde mapper, opsummere en rapport, automatisere en arbejdsgang - og agenten får en ny funktion.

I det bredere økosystem af "agentfærdigheder" er en færdighed typisk en mappe bygget op omkring enSKILL.mdfil. Den fil indeholder:

  • Metadata(navn / beskrivelse)
  • Instruktioner(de faktiske trin)
  • Valgfrit:manuskripterog andre samlede aktiver

Det lyder mildt sagt godartet, fordi det ligner dokumentation. Men dokumentation er præcis, hvad folk følger hurtigt, især når det ligner en liste over forudsætninger eller en installationsvejledning.

Færdigheder har også en "vinderen tager det hele"-dynamik: folk tiltrækkes af det, der er populært, det, der er nyt, og det, der ser ud til at spare tid. Det gør et offentligt markedsplads for færdigheder til et værdifuldt mål: kompromitter et par topdownloads, og du kan nå ud til en koncentreret gruppe af superbrugere - udviklere, operatører og alle, der har værdifulde legitimationsoplysninger liggende på deres maskine.

Kernetricket: markdown er ikke længere "indhold" - det er et installationsprogram

Traditionelle angreb i softwareforsyningskæden kræver ofte tekniske investeringer: afhængighedsforvirring, typosquatting, ondsindede scripts efter installation, opretholdelse af kontrol over et pakkenavn og omgåelse af scannere.

Et kompetencemarked sænker barren.

En ondsindet færdighed kan gøre noget så simpelt som dette:

  1. Præsenter et plausibelt værktøj ("Twitter-færdighed", "kryptotracker", "automatiseringshjælper").
  2. Tilføj et afsnit med "Forudsætninger" med en "påkrævet afhængighed".
  3. Sørg for et praktisk link og en kommando med én linje.
  4. Stol på mennesket (eller agenten) til at udføre det.

Det er ikke en ny social engineering-idé – den har været brugt i årevis – men agent-arbejdsgange.forstærkedet:

  • Agenter opsummerer dokumenter med sikkerhed ("Bare kør dette for at installere afhængigheden").
  • Agenter reducerer friktion ved at generere kommandoen for dig.
  • I nogle opsætninger kan agenter selv køre shell-kommandoer.

På det tidspunkt bliver "dokumentation" en fjernudførelsessti.

Hvad rapporterne siger skete i OpenClaw-økosystemet

Flere artikler beskriver en kampagne, hvor angribere uploadede et stort antal ondsindede færdigheder til ClawHub-markedspladsen og brugte "opsætningstrin" til at levere informationstyvende malware.

Ifølge Jason Meller fra 1Password omfattede en af ​​de mest downloadede færdigheder instruktioner, der kanaliserede brugerne ind i en trinvis leveringskæde: et link til en "afhængighed", en obfuskeret kommando og derefter en nyttelast, der i sidste ende installerede en infostealer designet til at plyndre maskinen for værdifulde hemmeligheder.

CyberInsider, der citerer forskning fra Koi Security, beskriver et lignende mønster i stor skala: trojansk behæftede færdigheder med "forudsætninger", der instruerer brugerne i at køre obfuskerede shell-scripts eller downloade adgangskodebeskyttede arkiver, hvilket kulminerer i nyttelast som Atomic macOS Stealer (AMOS) - en malware-familie forbundet med tyveri af legitimationsoplysninger og målretning af tegnebøger.

Om de nøjagtige antal varierer mellem rapporterne,former konsistent:

  • Færdigheder brugt som distribution
  • "Forudsætnings"-instruktioner brugt som overtalelsesmiddel
  • Infotyve brugt som det endelige mål

Det endelige mål er vigtigt: moderne infotyve er ikke ude efter én adgangskode – de er ude eftersessionstokens,browserprofiler,SSH-nøgler,cloud-legitimationsoplysninger, ogkrypto-tegnebøgerMed andre ord: det, der forvandler én kompromitteret bærbar computer til et større kompromis.

Hvis du nogensinde har tænkt: "Det ville jeg ikke falde for", har du sandsynligvis ret, når du er rolig og skeptisk.

Men agentens arbejdsgange ændrer konteksten:

  • Hastighed bliver standardindstillingen.Du bruger en agent, fordi du vil handle hurtigt.
  • Kognitiv belastning er outsourcet.Agenten forvandler en rodet instruktionsside til en selvsikker tjekliste.
  • Autoritet er lånt.Hvis agenten siger "Dette er standardafhængigheden", føles den undersøgt.

Med andre ord: agenten behøver ikke at blive "narret" i teknisk forstand. Den skal bare være til stede, mens du bliver nudget til at gøre en risikabel ting. Det er nok til at give et tip til adfærd.

Og hvis dugørtillader agenten at køre kommandoer direkte, kan en ondsindet færdighed blive til "håndfri kompromis".

"Men hvad med MCP? Er det ikke meningen, at det skal gøre værktøj mere sikkert?"

Model Context Protocol (MCP) er et reelt skridt fremad for strukturering af værktøjsadgang. Det standardiserer, hvordan værter eksponerer værktøjer, ressourcer og prompts, og det understreger brugerens samtykke og kontrol.

MCP gør dog ikke på magisk vis "færdigheder" sikre.

Hvorfor?

  • Færdigheder kan instruere brugere i at køre kommandoer uden for MCP-grænsen.
  • Færdigheder kan linke til scripts eller downloads, der aldrig berører MCP.
  • Ikke alle færdigheder bruger MCP overhovedet.

MCP kan hjælpe, når værten implementerer stærke tilladelser, klare samtykkeprompter, logføring og sikre standardindstillinger. Men en distributionsmekanisme baseret på nedskrivninger kan stadig omgå det via almindelig social engineering.

Dette er agentversionen af ​​forsyningskædesikkerhed (og vi har været her før)

Softwareverdenen lærte på den hårde måde, at:

  • Populære registre bliver misbrugt.
  • Typosquatting virker.
  • "Installer denne hjælper" er et almindeligt indgangspunkt.
  • De mest værdifulde ofre er dem, der bygger ting.

Færdighedsmarkedspladser kombinerer disse erfaringer med to nye acceleratorer:

  1. "Pakken" kan være instruktioner, ikke kode — og instruktioner er sværere at scanne pålideligt.
  2. Runtime-miljøet er rigt på legitimationsoplysningerefter design: browsere logget ind på alt, terminaler med SSH-nøgler, cloud-CLI'er, adgangskodeadministratorer og lokale filer.

På en måde er en markedsplads for færdigheder en appbutik, hvor de bedste apps har lov til at sige "Kopier og indsæt dette i Terminal for at aktivere funktionen." Det er ikke et løsbart problem med ét afkrydsningsfelt.

Praktiske forsvar (for almindelige brugere)

Hvis du eksperimenterer med en agent, der har lokal adgang, skal du behandle den som en ny operativsystembruger med superkræfter.

Her er det pragmatiske udgangspunkt:

  1. Brug en dedikeret maskine eller VMtil agenteksperimenter. Ingen gemte virksomhedslogin. Ingen SSH-nøgler i produktion. Ingen cloud-administratorsessioner.
  2. Standardindstillingen er "nej" ved installation af en enkelt linje.Især alt, der pipes curl ind i sh, bruger base64, eller beder dig om at fjerne OS-beskyttelse.
  3. Stol ikke på "mest downloadede".Popularitet er et væksthack, ikke en sikkerhedsmodel.
  4. Rotér det, der betyder noget, først, hvis du allerede har kørt noget.Browsersessioner, SSH-nøgler, API-tokens, cloud-nøgler.
  5. Foretrækker færdigheder, der er kildekontrollerede og kan gennemgås(Git-repos med historik, kendte vedligeholdere, tydelig proveniens).

Hvad markedspladser bør gøre (hvis de vil overleve)

Hvis du kører et offentligt færdighedsregister, kører du en angrebsflade.

Et par praktiske trin, der øger angriberens omkostninger betydeligt:

  • Udgiverens omdømme og oprindelse(verificerede identiteter, historik, underskrift).
  • Automatiseret scanningfor mistænkelige mønstre (kodede nyttelast, tilslørede oneliners, fjernelse af karantæne, adgangskodebeskyttede arkiver, "installationskerneafhængighed" med offsite-links).
  • Advarsel om UI-friktiontil eksterne links og shell-kommandoer.
  • Hurtig nedtagning og synlig hændelsesrespons(behandl det som en appbutik, ikke en pastebin).

Ingen af ​​disse er perfekte, men de køber tid – og tid er, hvad forsvarsspillere har brug for.

Hvad bygherrer bør forvente fremadrettet

Hvis du bygger selve agent-runtime'en, skal du antage, at færdighederne vil blive brugt som våben.

Det betyder:

  • Udførelse af standard-deny-kommando(kræver samtykke pr. kommando, ikke éngangsskift).
  • Stærk sandboxingfor adgang til filsystemer og browsere.
  • Omfattede, tidsbegrænsede tilladelsermed nem tilbagekaldelse.
  • Reviderbare logfileraf hvad agenten læste, og hvad den udførte.

Sluttilstanden er den samme retning, som skyen tog for år siden: identitet, politik, færrest rettigheder og revisionsspor – men bragt ned til arbejdsstationsniveau.

Konklusion

Historien om OpenClaw-færdigheder er ikke bare "nogle personer har uploadet malware". Det er en forsmag på den næste slagmark i forsyningskæden:færdigheder som distribution, markdown som en udførelsessti og agenter som accelerator.

Hvis agenter skal bo på vores personlige og arbejdsmaskiner, har økosystemet brug for et tillidslag, der behandler færdighedsmarkedspladser som appbutikker, behandler dokumentation som kode og behandler "nyttig automatisering" som en privilegeret operation – ikke en tilfældig bekvemmelighed.


Kilder

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
a Dansk