Wenn „Fähigkeiten“ zur Lieferkette werden: Der Weckruf durch Malware auf dem OpenClaw-Marktplatz

In den letzten Jahren hat sich der Begriff „KI-Agent“ von einer bloßen Marketingfloskel zu einem echten Workflow entwickelt: ein Assistent, der Ihre Dateien lesen, Ihren Browser öffnen, Befehle ausführen und Aktionen über verschiedene Dienste hinweg verknüpfen kann. Das ist das Versprechen.

Das Problem ist, dassStrom hat einen VerteilungskanalUnd dieser Kanal wird zunehmend alsFähigkeitEin kleines, leicht teilbares „Anleitungspaket“, das Agenten (und oft auch Nutzern) beibringt, wie eine Aufgabe erledigt wird. Es ist der App-Store-Moment für Agenten – nur dass die „Apps“ häufig …PreisreduzierungsanweisungenDie

Die Berichte dieser Woche über bösartige OpenClaw-Skills sind ein frühes und sehr deutliches Warnsignal dafür, dass sich die Geschichte der Open-Source-Lieferkette wiederholen könnte – allerdings mit einer Besonderheit: Anstatt eine kompilierte Abhängigkeit zu manipulieren, können Angreifer …Dokumentationund nutzen Sie die Nützlichkeit des Mittels als Schmiermittel.

Nachfolgend finden Sie eine praktische Erklärung, was passiert ist, warum es so gut funktioniert und was Sie dagegen tun können.

Was OpenClaw-Fähigkeiten sind (und warum sie wichtig sind)

OpenClaw popularisierte ein einfaches Erweiterungsmodell: Man fügt eine „Fähigkeit“ hinzu, die erklärt, wie man eine eng definierte Aufgabe erledigt – Beiträge in sozialen Medien veröffentlichen, Ordner aufräumen, einen Bericht zusammenfassen, einen Workflow automatisieren – und der Agent erhält eine neue Fähigkeit.

Im umfassenderen Ökosystem der „Agentenfähigkeiten“ ist eine Fähigkeit typischerweise ein Ordner, der um eineSKILL.mdDatei. Diese Datei enthält:

  • Metadaten(Name / Beschreibung)
  • Anweisungen(die konkreten Schritte)
  • Optional:Skripteund andere gebündelte Vermögenswerte

Das klingt harmlos, weil es wie eine Dokumentation aussieht. Aber genau Dokumentationen sind es, denen die Leute schnell folgen, besonders wenn sie wie eine Liste von Voraussetzungen oder eine Installationsanleitung aussehen.

Fähigkeiten unterliegen zudem einer „Alles-oder-Nichts“-Dynamik: Nutzer orientieren sich an dem, was beliebt, neu und zeitsparend erscheint. Daher ist ein öffentlicher Marktplatz für Fähigkeiten ein attraktives Ziel: Konzentriert man sich auf einige wenige Top-Downloads, erreicht man eine konzentrierte Gruppe von Power-Usern – Entwickler, Systemadministratoren und alle, die wertvolle Qualifikationen auf ihren Rechnern haben.

Der Kerntrick: Markdown ist kein „Inhalt“ mehr – es ist ein Installationsprogramm.

Traditionelle Angriffe auf die Software-Lieferkette erfordern oft technische Investitionen: Verwirrung durch Abhängigkeiten, Typosquatting, bösartige Post-Install-Skripte, die Kontrolle über einen Paketnamen behalten und Scannern ausweichen.

Ein Marktplatz für Kompetenzen senkt die Anforderungen.

Eine bösartige Fähigkeit kann etwas so Einfaches wie Folgendes tun:

  1. Präsentieren Sie ein plausibles Werkzeug („Twitter-Skill“, „Krypto-Tracker“, „Automatisierungshelfer“).
  2. Fügen Sie einen Abschnitt „Voraussetzungen“ mit einer „erforderlichen Abhängigkeit“ hinzu.
  3. Bieten Sie einen praktischen Link und einen Einzeiler-Befehl an.
  4. Verlassen Sie sich darauf, dass der Mensch (oder der Beauftragte) es ausführt.

Das ist keine neue Idee im Bereich Social Engineering – sie wird schon seit Jahren angewendet –, aber Agenten-WorkflowsverstärkenEs:

  • Agenten fassen die Dokumentation selbstbewusst zusammen („Führen Sie einfach dies aus, um die Abhängigkeit zu installieren“).
  • Agenten reduzieren Reibungsverluste, indem sie den Befehl für Sie generieren.
  • In manchen Konfigurationen können Agenten selbst Shell-Befehle ausführen.

An diesem Punkt wird „Dokumentation“ zu einem Remote-Ausführungspfad.

Was den Berichten zufolge im OpenClaw-Ökosystem geschah

In mehreren Berichten wird eine Kampagne beschrieben, bei der Angreifer eine große Anzahl bösartiger Fähigkeiten auf den ClawHub-Marktplatz hochluden und mithilfe von „Setup-Schritten“ Malware zum Informationsdiebstahl einsetzten.

Laut Jason Meller von 1Password enthielt eine der am häufigsten heruntergeladenen Funktionen Anweisungen, die die Benutzer in eine gestaffelte Auslieferungskette leiteten: einen Link zu einer „Abhängigkeit“, einen verschleierten Befehl und dann eine Nutzlast, die schließlich einen Infostealer installierte, der darauf ausgelegt war, den Rechner nach wertvollen Geheimnissen zu durchsuchen.

CyberInsider beschreibt unter Berufung auf Forschungsergebnisse von Koi Security ein ähnliches Muster in großem Umfang: Trojanisierte Fähigkeiten mit „Voraussetzungen“, die Benutzer anweisen, verschleierte Shell-Skripte auszuführen oder passwortgeschützte Archive herunterzuladen, was in Payloads wie Atomic macOS Stealer (AMOS) gipfelt – einer Malware-Familie, die mit dem Diebstahl von Anmeldeinformationen und dem Angriff auf Wallets in Verbindung gebracht wird.

Ob die genauen Zahlen in den Berichten voneinander abweichen,Formist konsistent:

  • Als Vertriebsfähigkeiten eingesetzt
  • „Voraussetzungsanweisungen“ werden als Überzeugungsmittel eingesetzt
  • Infostealer werden als Endziel verwendet

Dieses Endziel ist entscheidend: Moderne Infostealer sind nicht hinter einem einzigen Passwort her – sie wollenSitzungstoken,Browserprofile,SSH-Schlüssel,Cloud-Zugangsdaten, UndKrypto-WalletsMit anderen Worten: die Dinge, die aus einem kompromittierten Laptop eine umfassendere Kompromittierung machen.

Wenn Sie jemals gedacht haben: „Darauf würde ich nicht hereinfallen“, dann haben Sie wahrscheinlich recht, wenn Sie ruhig und skeptisch sind.

Agenten-Workflows verändern jedoch den Kontext:

  • Geschwindigkeit wird zur Standardeinstellung.Sie beauftragen einen Makler, weil Sie schnell umziehen möchten.
  • Die kognitive Belastung wird ausgelagert.Der Agent verwandelt eine unübersichtliche Anleitungsseite in eine übersichtliche Checkliste.
  • Die Autorität ist entlehnt.Wenn der Agent sagt: „Dies ist die Standardabhängigkeit“, fühlt es sich geprüft an.

Anders ausgedrückt: Der Agent muss nicht im technischen Sinne „ausgetrickst“ werden. Es genügt, wenn er anwesend ist, während Sie zu einer riskanten Handlung verleitet werden. Das reicht aus, um das Verhalten zu beeinflussen.

Und wenn duTunWenn man dem Agenten erlaubt, Befehle direkt auszuführen, kann eine bösartige Fähigkeit zu einer „freihändigen Kompromittierung“ werden.

„Aber was ist mit MCP? Sollte das nicht die Werkzeuge sicherer machen?“

Das Model Context Protocol (MCP) ist ein echter Fortschritt für die Strukturierung des Werkzeugzugriffs. Es standardisiert die Art und Weise, wie Hosts Werkzeuge, Ressourcen und Eingabeaufforderungen bereitstellen, und betont die Zustimmung und Kontrolle der Benutzer.

MCP macht „Fähigkeiten“ jedoch nicht auf magische Weise sicher.

Warum?

  • Skills können Benutzer anweisen, Befehle außerhalb der MCP-Grenze auszuführen.
  • Skills können auf Skripte oder Downloads verweisen, die MCP nie berühren.
  • Nicht jede Fertigkeit nutzt MCP überhaupt.

MCP kann helfen, wenn der Host strenge Berechtigungen, eindeutige Zustimmungsabfragen, Protokollierung und sichere Standardeinstellungen implementiert. Ein Markdown-basierter Verteilungsmechanismus kann dies jedoch durch einfaches Social Engineering umgehen.

Dies ist die Agentenversion der Lieferkettensicherheit (und wir hatten das schon einmal).

Die Softwarewelt musste auf die harte Tour lernen, dass:

  • Beliebte Register werden missbraucht.
  • Typosquatting funktioniert.
  • „Installieren Sie dieses Hilfsprogramm“ ist ein häufiger Einstiegspunkt.
  • Die wertvollsten Opfer sind diejenigen, die Dinge aufbauen.

Kompetenzmarktplätze kombinieren diese Erkenntnisse mit zwei neuen Beschleunigern:

  1. Das „Paket“ kann eine Anleitung sein., nicht Code – und Anweisungen sind schwerer zuverlässig zu scannen.
  2. Die Laufzeitumgebung ist reich an Anmeldeinformationen.Systembedingt: Browser sind überall angemeldet, Terminals verwenden SSH-Schlüssel, Cloud-CLIs, Passwortmanager und lokale Dateien.

In gewisser Weise ist ein Marktplatz für Fähigkeiten ein App-Store, in dem die Top-Apps sagen dürfen: „Kopieren Sie dies in das Terminal, um die Funktion zu aktivieren.“ Das ist kein Problem, das sich mit einem einzigen Kontrollkästchen lösen lässt.

Praktische Schutzmaßnahmen (für normale Benutzer)

Wenn Sie mit einem Agenten experimentieren, der über lokalen Zugriff verfügt, müssen Sie ihn wie einen neuen Betriebssystembenutzer mit Superkräften behandeln.

Hier die pragmatische Ausgangslage:

  1. Verwenden Sie einen dedizierten Rechner oder eine virtuelle Maschine.Für Agentenexperimente. Keine gespeicherten Unternehmens-Logins. Keine SSH-Produktionsschlüssel. Keine Cloud-Admin-Sitzungen.
  2. Bei einzeiligen Installationsprogrammen ist standardmäßig „Nein“ eingestellt.Insbesondere alles, was curl in sh umleitet, Base64 verwendet oder Sie auffordert, Betriebssystemschutzmechanismen zu entfernen.
  3. Vertrauen Sie nicht den Downloadzahlen.Popularität ist ein Wachstumstrick, kein Sicherheitsmodell.
  4. Wenn Sie bereits etwas ausgeführt haben, wechseln Sie zuerst die wichtigen Elemente.Browsersitzungen, SSH-Schlüssel, API-Token, Cloud-Schlüssel.
  5. Bevorzugt werden Fähigkeiten, deren Quellcode kontrolliert und überprüfbar ist.(Git-Repositories mit Historie, bekannten Maintainern und klarer Herkunft).

Was Marktplätze tun sollten (wenn sie überleben wollen)

Wer ein öffentliches Kompetenzregister betreibt, bietet eine Angriffsfläche.

Ein paar praktische Schritte, die die Kosten für Angreifer spürbar erhöhen:

  • Reputation des Verlags und Herkunft(verifizierte Identitäten, Historie, Signierung).
  • Automatisiertes Scannenauf verdächtige Muster (kodierte Nutzdaten, verschleierte Einzeiler, Entfernung aus der Quarantäne, passwortgeschützte Archive, „Kernabhängigkeit installieren“ mit externen Links).
  • Warnung: Benutzeroberflächenreibungfür externe Links und Shell-Befehle.
  • Schnelle Beseitigung und sichtbare Reaktion auf Vorfälle(Behandeln Sie es wie einen App-Store, nicht wie eine Pastebin-Plattform).

Keine dieser Maßnahmen ist perfekt, aber sie verschaffen Zeit – und Zeit ist genau das, was die Verteidiger brauchen.

Was Agentenentwickler künftig annehmen sollten

Wenn Sie die Agentenlaufzeitumgebung selbst entwickeln, gehen Sie davon aus, dass Fähigkeiten als Waffe eingesetzt werden.

Das bedeutet:

  • Standardmäßig die Befehlsausführung verweigern(Zustimmung pro Befehl erforderlich, nicht einmalige, dauerhafte Schalter).
  • Starkes Sandboxingfür den Zugriff auf das Dateisystem und den Browser.
  • Eingeschränkte, zeitlich begrenzte Berechtigungenmit einfacher Widerrufbarkeit.
  • Prüfbare Protokollewas der Agent gelesen und was er ausgeführt hat.

Das Endziel ist die gleiche Richtung, die die Cloud vor Jahren eingeschlagen hat: Identität, Richtlinien, minimale Berechtigungen und Prüfprotokolle – nur eben bis auf die Ebene der Arbeitsstationen heruntergebrochen.

Fazit

Die Geschichte um die OpenClaw-Fähigkeiten ist nicht einfach nur die Geschichte von „einigen Leuten, die Schadsoftware hochgeladen haben“. Sie ist eine Vorschau auf das nächste Schlachtfeld der Lieferkette:Fähigkeiten als Vertriebskanal, Markdown als Ausführungsweg und Agenten als Beschleuniger.

Wenn Agenten auf unseren privaten und beruflichen Rechnern präsent sein sollen, benötigt das Ökosystem eine Vertrauensebene, die Kompetenzmarktplätze wie App-Stores behandelt, Dokumentation wie Code und „hilfreiche Automatisierung“ als privilegierte Operation – und nicht als beiläufige Annehmlichkeit.


Quellen

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
e Deutsch