Όταν οι «δεξιότητες» γίνονται η αλυσίδα εφοδιασμού: η κλήση αφύπνισης για το κακόβουλο λογισμικό στην αγορά OpenClaw

Τα τελευταία δύο χρόνια, ο όρος «πράκτορας τεχνητής νοημοσύνης» έπαψε να είναι μια φράση μάρκετινγκ και άρχισε να είναι μια πραγματική ροή εργασίας: ένας βοηθός που μπορεί να διαβάζει τα αρχεία σας, να ανοίγει το πρόγραμμα περιήγησής σας, να εκτελεί εντολές και να συνδυάζει ενέργειες σε διάφορες υπηρεσίες. Αυτή είναι η υπόσχεση.

Το πρόβλημα είναι ότιΗ ισχύς έχει κανάλι διανομήςΚαι αυτό το κανάλι ονομάζεται ολοένα και περισσότεροεπιδεξιότητα: ένα μικρό, κοινόχρηστο πακέτο "οδηγιών" που διδάσκει σε έναν πράκτορα (και συχνά στον χρήστη) πώς να ολοκληρώσει μια εργασία. Είναι η στιγμή του καταστήματος εφαρμογών για τους πράκτορες — εκτός από το ότι οι "εφαρμογές" είναι συχνάοδηγίες μείωσης τιμής.

Οι αναφορές αυτής της εβδομάδας σχετικά με κακόβουλες δεξιότητες OpenClaw αποτελούν ένα πρώιμο, πολύ ηχηρό μήνυμα ότι πρόκειται να επαναλάβουμε την ιστορία της αλυσίδας εφοδιασμού ανοιχτού κώδικα — αλλά με μια ανατροπή: αντί να δηλητηριάσουν μια μεταγλωττισμένη εξάρτηση, οι εισβολείς μπορούν να δηλητηριάσουν...απόδειξη με έγγραφακαι χρησιμοποιήστε την χρησιμότητα του παράγοντα ως λιπαντικό.

Παρακάτω θα βρείτε μια πρακτική εξήγηση για το τι συνέβη, γιατί λειτουργεί τόσο καλά και τι μπορείτε να κάνετε γι' αυτό.

Τι είναι οι δεξιότητες OpenClaw (και γιατί είναι σημαντικές)

Το OpenClaw διέδωσε ένα απλό μοντέλο επέκτασης: προσθέτοντας μια «δεξιότητα» που εξηγεί πώς να κάνετε μια συγκεκριμένη εργασία — δημοσίευση στα μέσα κοινωνικής δικτύωσης, καθαρισμό φακέλων, σύνοψη αναφοράς, αυτοματοποίηση μιας ροής εργασίας — ο πράκτορας αποκτά μια νέα δυνατότητα.

Στο ευρύτερο οικοσύστημα των «δεξιοτήτων πρακτόρων», μια δεξιότητα είναι συνήθως ένας φάκελος που βασίζεται σε έναSKILL.mdαρχείο. Αυτό το αρχείο περιέχει:

  • Μεταδεδομένα(όνομα / περιγραφή)
  • Οδηγίες(τα πραγματικά βήματα)
  • Προαιρετικά:σενάριακαι άλλα ομαδοποιημένα περιουσιακά στοιχεία

Αυτό ακούγεται ακίνδυνο επειδή μοιάζει με τεκμηρίωση. Αλλά η τεκμηρίωση είναι ακριβώς αυτό που οι άνθρωποι ακολουθούν γρήγορα, ειδικά όταν μοιάζει με λίστα προαπαιτούμενων ή οδηγό εγκατάστασης.

Οι δεξιότητες έχουν επίσης μια δυναμική τύπου «ο νικητής τα παίρνει όλα»: οι άνθρωποι έλκονται από ό,τι είναι δημοφιλές, ό,τι είναι νέο και ό,τι φαίνεται ότι θα εξοικονομήσει χρόνο. Αυτό καθιστά μια δημόσια αγορά δεξιοτήτων έναν στόχο υψηλής αξίας: συμβιβαστείτε με μερικές από τις κορυφαίες λήψεις και μπορείτε να προσεγγίσετε ένα συγκεντρωμένο σύνολο δυνατών χρηστών - προγραμματιστές, χειριστές και οποιονδήποτε έχει πολύτιμα διαπιστευτήρια στον υπολογιστή του.

Το βασικό κόλπο: το markdown δεν είναι πλέον «περιεχόμενο» — είναι ένα πρόγραμμα εγκατάστασης

Οι παραδοσιακές επιθέσεις στην εφοδιαστική αλυσίδα λογισμικού συχνά απαιτούν τεχνικές επενδύσεις: σύγχυση εξαρτήσεων, τυπογραφικά λάθη, κακόβουλα σενάρια μετά την εγκατάσταση, διατήρηση ελέγχου στο όνομα ενός πακέτου και αποφυγή σαρωτών.

Μια αγορά δεξιοτήτων χαμηλώνει τον πήχη.

Μια κακόβουλη δεξιότητα μπορεί να κάνει κάτι τόσο απλό όσο αυτό:

  1. Παρουσιάστε ένα εύλογο εργαλείο ("Twitter skill", "crypto tracker", "automation helper").
  2. Προσθέστε μια ενότητα "Προαπαιτούμενα" με μια "απαιτούμενη εξάρτηση".
  3. Παρέχετε έναν βολικό σύνδεσμο και μια εντολή μίας γραμμής.
  4. Βασιστείτε στον άνθρωπο (ή στον πράκτορα) για να το εκτελέσετε.

Αυτή δεν είναι μια νέα ιδέα κοινωνικής μηχανικής — χρησιμοποιείται εδώ και χρόνια — αλλά οι ροές εργασίας των πρακτόρωνενισχύωτο:

  • Οι πράκτορες συνοψίζουν τα έγγραφα με σιγουριά ("Απλώς εκτελέστε αυτό για να εγκαταστήσετε την εξάρτηση").
  • Οι πράκτορες μειώνουν την τριβή δημιουργώντας την εντολή για εσάς.
  • Σε ορισμένες ρυθμίσεις, οι πράκτορες μπορούν να εκτελούν οι ίδιοι εντολές κελύφους.

Σε αυτό το σημείο, η «τεκμηρίωση» γίνεται μια διαδρομή απομακρυσμένης εκτέλεσης.

Τι λένε οι αναφορές συνέβη στο οικοσύστημα του OpenClaw

Πολλαπλές αναφορές περιγράφουν μια εκστρατεία στην οποία οι εισβολείς ανέβασαν μεγάλο αριθμό κακόβουλων δεξιοτήτων στην αγορά του ClawHub και χρησιμοποίησαν «βήματα εγκατάστασης» για να παραδώσουν κακόβουλο λογισμικό κλοπής πληροφοριών.

Σύμφωνα με τον Jason Meller του 1Password, μια δεξιότητα που κατεβαινόταν συχνότερα περιελάμβανε οδηγίες που οδηγούσαν τους χρήστες σε μια σταδιακή αλυσίδα παράδοσης: έναν σύνδεσμο προς μια «εξάρτηση», μια ασαφή εντολή και στη συνέχεια ένα ωφέλιμο φορτίο που τελικά εγκατέστησε ένα infostealer σχεδιασμένο να επιτίθεται στο μηχάνημα για πολύτιμα μυστικά.

Το CyberInsider, επικαλούμενο έρευνα της Koi Security, περιγράφει ένα παρόμοιο μοτίβο σε μεγάλη κλίμακα: δεξιότητες που έχουν υποστεί trojan με «Προαπαιτούμενα» που καθοδηγούν τους χρήστες να εκτελούν ασαφή σενάρια κελύφους ή να κατεβάζουν αρχεία που προστατεύονται με κωδικό πρόσβασης, με αποκορύφωμα τα ωφέλιμα φορτία όπως το Atomic macOS Stealer (AMOS) — μια οικογένεια κακόβουλου λογισμικού που σχετίζεται με την κλοπή διαπιστευτηρίων και τη στόχευση πορτοφολιών.

Είτε οι ακριβείς μετρήσεις διαφέρουν μεταξύ των αναφορών, τοσχήμαείναι συνεπής:

  • Δεξιότητες που χρησιμοποιούνται ως διανομή
  • «Προαπαιτούμενες» οδηγίες που χρησιμοποιούνται ως πειθώ
  • Οι κλέφτες πληροφοριών χρησιμοποιούνται ως τελικός στόχος

Αυτός ο τελικός στόχος έχει σημασία: οι σύγχρονοι κλέφτες πληροφοριών δεν κυνηγούν έναν μόνο κωδικό πρόσβασης — κυνηγούνδιακριτικά συνεδρίας,προφίλ προγράμματος περιήγησης,Κλειδιά SSH,διαπιστευτήρια cloud, καικρυπτογραφικά πορτοφόλιαΜε άλλα λόγια: τα πράγματα που μετατρέπουν έναν παραβιασμένο φορητό υπολογιστή σε έναν ευρύτερο παραβιασμένο υπολογιστή.

Αν ποτέ σκεφτήκατε «Δεν θα το πίστευα ποτέ», πιθανότατα έχετε δίκιο όταν είστε ήρεμοι και δύσπιστοι.

Αλλά οι ροές εργασίας των πρακτόρων αλλάζουν το πλαίσιο:

  • Η ταχύτητα γίνεται η προεπιλογή.Χρησιμοποιείτε έναν μεσίτη επειδή θέλετε να κινηθείτε γρήγορα.
  • Το γνωστικό φορτίο ανατίθεται σε εξωτερικούς συνεργάτες.Ο πράκτορας μετατρέπει μια ακατάστατη σελίδα οδηγιών σε μια σίγουρη λίστα ελέγχου.
  • Η εξουσία είναι δανεική.Αν ο πράκτορας πει «Αυτή είναι η τυπική εξάρτηση», τότε θεωρείται ελεγμένο.

Με άλλα λόγια: ο πράκτορας δεν χρειάζεται να «ξεγελαστεί» από τεχνικής άποψης. Απλώς πρέπει να είναι παρών ενώ σας ωθούν να κάνετε κάτι επικίνδυνο. Αυτό αρκεί για να οδηγήσει σε συμπεριφορά που δεν σας επιτρέπει να το κάνετε.

Και αν εσύκάνωεπιτρέπουν στον πράκτορα να εκτελεί εντολές απευθείας, μια κακόβουλη δεξιότητα μπορεί να γίνει «παραβίαση hands-free».

«Αλλά τι γίνεται με το MCP; Δεν υποτίθεται ότι αυτό κάνει τα εργαλεία ασφαλέστερα;»

Το Πρωτόκολλο Περιβάλλοντος Μοντέλου (MCP) αποτελεί ένα πραγματικό βήμα προς τα εμπρός για τη δομή της πρόσβασης σε εργαλεία. Τυποποιεί τον τρόπο με τον οποίο οι κεντρικοί υπολογιστές εκθέτουν εργαλεία, πόρους και προτροπές και δίνει έμφαση στη συγκατάθεση και τον έλεγχο του χρήστη.

Ωστόσο, το MCP δεν καθιστά μαγικά τις «δεξιότητες» ασφαλείς.

Γιατί;

  • Οι δεξιότητες μπορούν να καθοδηγήσουν τους χρήστες να εκτελούν εντολές εκτός των ορίων του MCP.
  • Οι δεξιότητες μπορούν να συνδεθούν με σενάρια ή λήψεις που δεν αγγίζουν ποτέ το MCP.
  • Δεν κάθε δεξιότητα χρησιμοποιεί καθόλου MCP.

Το MCP μπορεί να βοηθήσει όταν ο πάροχος υπηρεσιών φιλοξενίας εφαρμόζει ισχυρή αδειοδότηση, σαφείς προτροπές συναίνεσης, καταγραφή και ασφαλείς προεπιλογές. Ωστόσο, ένας μηχανισμός διανομής που βασίζεται σε μείωση τιμών μπορεί να το παρακάμψει μέσω της απλής κοινωνικής μηχανικής.

Αυτή είναι η εκδοχή πρακτόρων της ασφάλειας της εφοδιαστικής αλυσίδας (και το έχουμε ξαναδεί)

Ο κόσμος του λογισμικού έμαθε με τον δύσκολο τρόπο ότι:

  • Τα δημοφιλή μητρώα γίνονται αντικείμενο κατάχρησης.
  • Η τυπογραφική κατάληψη λειτουργεί.
  • Η επιλογή «Εγκατάσταση αυτού του βοηθού» είναι ένα συνηθισμένο σημείο εισόδου.
  • Τα πιο πολύτιμα θύματα είναι αυτά που χτίζουν πράγματα.

Οι αγορές δεξιοτήτων συνδυάζουν αυτά τα μαθήματα με δύο νέους επιταχυντές:

  1. Το «πακέτο» μπορεί να είναι οδηγίες, όχι κώδικα — και οι οδηγίες είναι πιο δύσκολο να σαρωθούν αξιόπιστα.
  2. Το περιβάλλον εκτέλεσης είναι πλούσιο σε διαπιστευτήριααπό σχεδιασμό: προγράμματα περιήγησης που συνδέονται σε όλα, τερματικά με κλειδιά SSH, CLI cloud, διαχειριστές κωδικών πρόσβασης και τοπικά αρχεία.

Κατά μία έννοια, μια αγορά δεξιοτήτων είναι ένα κατάστημα εφαρμογών όπου οι κορυφαίες εφαρμογές επιτρέπεται να πουν «Αντιγράψτε-επικολλήστε αυτό στο Τερματικό για να ενεργοποιήσετε τη λειτουργία». Αυτό δεν είναι ένα πρόβλημα που μπορεί να λυθεί με ένα μόνο πλαίσιο ελέγχου.

Πρακτικές άμυνες (για απλούς χρήστες)

Εάν πειραματίζεστε με έναν παράγοντα που έχει τοπική πρόσβαση, πρέπει να τον αντιμετωπίσετε σαν έναν νέο χρήστη λειτουργικού συστήματος με υπερδυνάμεις.

Εδώ είναι η ρεαλιστική βάση:

  1. Χρησιμοποιήστε έναν αποκλειστικό υπολογιστή ή εικονική μηχανήγια πειράματα πρακτόρων. Δεν υπάρχουν αποθηκευμένες εταιρικές συνδέσεις. Δεν υπάρχουν κλειδιά SSH παραγωγής. Δεν υπάρχουν συνεδρίες διαχειριστή cloud.
  2. Η προεπιλεγμένη ρύθμιση είναι "όχι" σε προγράμματα εγκατάστασης με μία γραμμή.Ειδικά οτιδήποτε καμπυλώνει σε sh, χρησιμοποιεί base64 ή σας ζητά να αφαιρέσετε τις προστασίες του λειτουργικού συστήματος.
  3. Μην εμπιστεύεστε τις «κορυφαίες λήψεις».Η δημοτικότητα είναι ένα κόλπο ανάπτυξης, όχι ένα μοντέλο ασφάλειας.
  4. Εναλλάξτε πρώτα ό,τι έχει σημασία, αν έχετε ήδη εκτελέσει κάτι.Συνεδρίες προγράμματος περιήγησης, κλειδιά SSH, διακριτικά API, κλειδιά cloud.
  5. Προτιμήστε δεξιότητες που ελέγχονται από την πηγή και είναι αναθεωρήσιμες(Αποθετήρια Git με ιστορικό, γνωστούς συντηρητές, σαφή προέλευση).

Τι πρέπει να κάνουν οι αγορές (αν θέλουν να επιβιώσουν)

Αν εκτελείτε ένα δημόσιο μητρώο δεξιοτήτων, εκτελείτε μια επιφάνεια επίθεσης.

Μερικά πρακτικά βήματα που αυξάνουν σημαντικά το κόστος για τους εισβολείς:

  • Φήμη και προέλευση του εκδότη(επαληθευμένες ταυτότητες, ιστορικό, υπογραφή).
  • Αυτοματοποιημένη σάρωσηγια ύποπτα μοτίβα (κωδικοποιημένα ωφέλιμα φορτία, ασαφείς μονοσήμαντες γραμμές, αφαίρεση καραντίνας, αρχεία που προστατεύονται με κωδικό πρόσβασης, "εξάρτηση πυρήνα εγκατάστασης" με συνδέσμους εκτός ιστότοπου).
  • Προειδοποίηση για τριβή στο UIγια εξωτερικούς συνδέσμους και εντολές shell.
  • Γρήγορη κατάργηση και ορατή απόκριση σε περιστατικά(αντιμετωπίστε το σαν κατάστημα εφαρμογών, όχι σαν pastebin).

Τίποτα από αυτά δεν είναι τέλειο, αλλά αγοράζουν χρόνο — και ο χρόνος είναι αυτό που χρειάζονται οι αμυντικοί.

Τι πρέπει να αναλάβουν οι κατασκευαστές πρακτόρων στο μέλλον

Αν δημιουργείτε το ίδιο το runtime του agent, υποθέστε ότι οι δεξιότητες θα χρησιμοποιηθούν ως όπλα.

Αυτό σημαίνει:

  • Εκτέλεση εντολής προεπιλεγμένης άρνησης(απαιτείται συγκατάθεση ανά εντολή, όχι διακόπτες μίας και για πάντα).
  • Ισχυρό sandboxingγια πρόσβαση στο σύστημα αρχείων και στο πρόγραμμα περιήγησης.
  • Δικαιώματα με χρονικό περιορισμό και εύρος ζώνηςμε εύκολη ανάκληση.
  • Ελεγχόμενα αρχεία καταγραφήςαπό αυτά που διάβασε ο πράκτορας και αυτά που εκτέλεσε.

Η τελική κατάσταση είναι η ίδια κατεύθυνση που ακολούθησε το cloud πριν από χρόνια: ταυτότητα, πολιτική, ελάχιστα προνόμια και ίχνη ελέγχου — αλλά μειωμένη στο επίπεδο του σταθμού εργασίας.

Συμπέρασμα

Η ιστορία των δεξιοτήτων του OpenClaw δεν αφορά απλώς «κάποιοι ανέβασαν κακόβουλο λογισμικό». Είναι μια προεπισκόπηση του επόμενου πεδίου μάχης της εφοδιαστικής αλυσίδας:δεξιότητες ως διανομή, markdown ως διαδρομή εκτέλεσης και πράκτορες ως επιταχυντής.

Αν οι πράκτορες πρόκειται να ζουν στις προσωπικές και επαγγελματικές μας μηχανές, το οικοσύστημα χρειάζεται ένα επίπεδο εμπιστοσύνης που να αντιμετωπίζει τις αγορές δεξιοτήτων όπως τα καταστήματα εφαρμογών, να αντιμετωπίζει την τεκμηρίωση όπως τον κώδικα και να αντιμετωπίζει τον «χρήσιμο αυτοματισμό» ως μια προνομιακή λειτουργία — όχι ως μια απλή διευκόλυνση.


Πηγές

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
Ελληνικά