Cuando las "habilidades" se convierten en la cadena de suministro: la llamada de atención sobre el malware del marketplace OpenClaw

En los últimos años, "agente de IA" dejó de ser una frase publicitaria para convertirse en un flujo de trabajo real: un asistente que puede leer tus archivos, abrir tu navegador, ejecutar comandos y conectar acciones entre servicios. Esa es la promesa.

El problema es queEl poder tiene un canal de distribución. Y ese canal cada vez se llama máshabilidad: un pequeño paquete de instrucciones para compartir que enseña a un agente (y a menudo al usuario) cómo realizar una tarea. Es el momento de las tiendas de aplicaciones para los agentes, excepto que las "aplicaciones" son frecuentemente...instrucciones de rebajas.

Los informes de esta semana sobre habilidades maliciosas de OpenClaw son una señal temprana y muy fuerte de que estamos a punto de repetir la historia de la cadena de suministro de código abierto, pero con un giro: en lugar de envenenar una dependencia compilada, los atacantes pueden envenenardocumentacióny utilizar la ayuda del agente como lubricante.

A continuación se muestra una explicación práctica de lo que sucedió, por qué funciona tan bien y qué puede hacer al respecto.

Qué son las habilidades de OpenClaw (y por qué son importantes)

OpenClaw popularizó un modelo de extensión simple: se agrega una “habilidad” que explica cómo realizar una tarea específica (publicar en redes sociales, limpiar carpetas, resumir un informe, automatizar un flujo de trabajo) y el agente obtiene una nueva capacidad.

En el ecosistema más amplio de “habilidades del agente”, una habilidad es típicamente una carpeta construida alrededor de unaHABILIDAD.mdarchivo. Ese archivo contiene:

  • Metadatos(nombre/descripción)
  • Instrucciones(los pasos reales)
  • Opcionalmente:guionesy otros activos agrupados

Eso suena inofensivo porque parece documentación. Pero la documentación es precisamente lo que la gente sigue rápidamente, sobre todo cuando parece una lista de prerrequisitos o una guía de instalación.

Las habilidades también tienen una dinámica de "el ganador se lo lleva todo": la gente se inclina por lo popular, lo novedoso y lo que parece ahorrar tiempo. Esto convierte a un mercado público de habilidades en un objetivo de gran valor: al comprometer algunas descargas importantes, se puede llegar a un grupo concentrado de usuarios avanzados: desarrolladores, operadores y cualquiera que tenga credenciales valiosas en su equipo.

El truco principal: Markdown ya no es “contenido”: es un instalador

Los ataques tradicionales a la cadena de suministro de software a menudo requieren inversión técnica: confusión de dependencias, errores tipográficos, scripts maliciosos posteriores a la instalación, mantenimiento del control sobre el nombre de un paquete y elusión de escáneres.

Un mercado de habilidades baja el listón.

Una habilidad maliciosa puede hacer algo tan simple como esto:

  1. Presentar una herramienta plausible (“habilidad de Twitter”, “rastreador de criptomonedas”, “ayudante de automatización”).
  2. Agregue una sección de “Requisitos previos” con una “dependencia requerida”.
  3. Proporcione un enlace conveniente y un comando de una sola línea.
  4. Confíe en el ser humano (o agente) para ejecutarlo.

No se trata de una idea nueva de ingeniería social (se ha utilizado durante años), pero los flujos de trabajo de los agentes...amplificarél:

  • Los agentes resumen los documentos con confianza (“Simplemente ejecute esto para instalar la dependencia”).
  • Los agentes reducen la fricción al generar el comando por usted.
  • En algunas configuraciones, los agentes pueden ejecutar comandos de shell por sí mismos.

En ese punto, la “documentación” se convierte en una ruta de ejecución remota.

Lo que dicen los informes que sucedió en el ecosistema OpenClaw

Varios artículos describen una campaña en la que los atacantes cargaron grandes cantidades de habilidades maliciosas en el mercado de ClawHub y utilizaron “pasos de configuración” para distribuir malware que roba información.

Según Jason Meller de 1Password, una habilidad descargada desde arriba incluía instrucciones que canalizaban a los usuarios a una cadena de entrega por etapas: un enlace a una "dependencia", un comando ofuscado y luego una carga útil que finalmente instalaba un ladrón de información diseñado para saquear la máquina en busca de secretos valiosos.

CyberInsider, citando una investigación de Koi Security, describe un patrón similar a escala: habilidades troyanizadas con “prerrequisitos” que instruyen a los usuarios a ejecutar scripts de shell ofuscados o descargar archivos protegidos con contraseña, lo que culmina en cargas útiles como Atomic macOS Stealer (AMOS), una familia de malware asociada con el robo de credenciales y la orientación de billeteras.

Si los recuentos exactos difieren entre los informes,formaes consistente:

  • Habilidades utilizadas como distribución
  • Instrucciones “prerrequisito” utilizadas como persuasión
  • Los ladrones de información utilizados como objetivo final

Ese objetivo final importa: los ladrones de información modernos no buscan una sola contraseña, sino...tokens de sesión,perfiles de navegador,Claves SSH,credenciales en la nube, ycarteras de criptomonedas. En otras palabras: lo que convierte una computadora portátil comprometida en un compromiso más amplio.

Si alguna vez has pensado: "Yo no caería en eso", probablemente tengas razón cuando estás tranquilo y escéptico.

Pero los flujos de trabajo de los agentes cambian el contexto:

  • La velocidad se convierte en el valor predeterminado.Estás utilizando un agente porque quieres actuar rápidamente.
  • La carga cognitiva se externaliza.El agente convierte una página de instrucciones desordenada en una lista de verificación segura.
  • La autoridad es prestada.Si el agente dice “Esta es la dependencia estándar”, se siente examinado.

En otras palabras: no es necesario engañar al agente en sentido técnico. Basta con que esté presente mientras se le incita a hacer algo arriesgado. Eso es suficiente para influir en el comportamiento.

Y si tuhacerpermitir que el agente ejecute comandos directamente, una habilidad maliciosa puede convertirse en un "compromiso de manos libres".

¿Pero qué pasa con el MCP? ¿No se supone que eso hace que las herramientas sean más seguras?

El Protocolo de Contexto de Modelo (MCP) representa un gran avance en la estructuración del acceso a herramientas. Estandariza la forma en que los hosts exponen herramientas, recursos y solicitudes, y prioriza el consentimiento y el control del usuario.

Sin embargo, MCP no hace que las “habilidades” sean mágicamente seguras.

¿Por qué?

  • Las habilidades pueden indicar a los usuarios que ejecuten comandos fuera del límite del MCP.
  • Las habilidades pueden vincularse a scripts o descargas que nunca tocan MCP.
  • No todas las habilidades utilizan MCP.

MCP puede ser útil cuando el host implementa permisos sólidos, solicitudes de consentimiento claras, registro y valores predeterminados seguros. Sin embargo, un mecanismo de distribución basado en Markdown aún puede evitarlo mediante ingeniería social.

Esta es la versión del agente de la seguridad de la cadena de suministro (y ya hemos estado aquí antes)

El mundo del software aprendió por las malas que:

  • Los registros populares son objeto de abuso.
  • El typosquatting funciona.
  • “Instalar este ayudante” es un punto de entrada común.
  • Las víctimas más valiosas son las que construyen cosas.

Los mercados de habilidades combinan esas lecciones con dos nuevos aceleradores:

  1. El “paquete” puede ser instrucciones, no código, y las instrucciones son más difíciles de escanear de manera confiable.
  2. El entorno de ejecución es rico en credencialespor diseño: navegadores conectados a todo, terminales con claves SSH, CLI en la nube, administradores de contraseñas y archivos locales.

En cierto sentido, un mercado de habilidades es una tienda de aplicaciones donde las mejores aplicaciones pueden decir "Copiar y pegar esto en la Terminal para habilitar la función". Ese no es un problema que se pueda resolver con una sola casilla de verificación.

Defensas prácticas (para usuarios normales)

Si está experimentando con un agente que tiene acceso local, debe tratarlo como un nuevo usuario del sistema operativo con superpoderes.

Aquí está la base pragmática:

  1. Utilice una máquina o VM dedicadaPara experimentos de agentes. Sin inicios de sesión corporativos guardados. Sin claves SSH de producción. Sin sesiones de administrador en la nube.
  2. El valor predeterminado es “no” en los instaladores de una sola línea.Especialmente cualquier cosa que se enrolle en sh, use base64 o le solicite que elimine las protecciones del sistema operativo.
  3. No confíes en los “más descargados”La popularidad es una estrategia de crecimiento, no un modelo de seguridad.
  4. Si ya has ejecutado algo, gira primero lo que importa.Sesiones de navegador, claves SSH, tokens API, claves en la nube.
  5. Prefiera habilidades que estén controladas por la fuente y sean revisables.(Repositorios Git con historial, mantenedores conocidos, procedencia clara).

Qué deben hacer los mercados (si quieren sobrevivir)

Si ejecuta un registro de habilidades públicas, está ejecutando una superficie de ataque.

Algunos pasos prácticos que aumentan significativamente el costo para los atacantes:

  • Reputación y procedencia del editor(identidades verificadas, historial, firma).
  • Escaneo automatizadopara patrones sospechosos (cargas codificadas, líneas únicas ofuscadas, eliminación de cuarentena, archivos protegidos con contraseña, “instalar dependencia principal” con enlaces externos).
  • Advertencia de fricción en la interfaz de usuariopara enlaces externos y comandos de shell.
  • Desmontaje rápido y respuesta visible a incidentes(Trátelo como una tienda de aplicaciones, no como un pastebin).

Ninguno de ellos es perfecto, pero permiten ganar tiempo, y tiempo es lo que necesitan los defensores.

Lo que los creadores de agentes deben asumir en el futuro

Si estás creando el tiempo de ejecución del agente, asume que las habilidades se convertirán en armas.

Esto significa:

  • Denegar la ejecución del comando por defecto(requiere consentimiento por comando, no cambios únicos y permanentes).
  • Sandbox fuertepara el acceso al sistema de archivos y al navegador.
  • Permisos con alcance y límite de tiempocon fácil revocación.
  • Registros auditablesde lo que el agente leyó y lo que ejecutó.

El estado final es la misma dirección que tomó la nube hace años: identidad, política, mínimo privilegio y registros de auditoría, pero llevado al nivel de la estación de trabajo.

En resumen

La historia de las habilidades de OpenClaw no se limita a que "algunas personas subieron malware". Es un anticipo del próximo campo de batalla en la cadena de suministro:habilidades como distribución, markdown como ruta de ejecución y agentes como acelerador.

Si los agentes van a vivir en nuestras máquinas personales y laborales, el ecosistema necesita una capa de confianza que trate a los mercados de habilidades como tiendas de aplicaciones, trate a la documentación como código y trate a la “automatización útil” como una operación privilegiada, no como una conveniencia casual.


Fuentes

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
s Español