Viimase paari aasta jooksul on „tehisintellekti agent” lakanud olemast turundusfraas ja hakanud olema tõeline töövoog: assistent, mis saab lugeda teie faile, avada teie brauseri, käivitada käske ja ühendada toiminguid teenuste vahel. See on lubadus.
Probleem on selles, etVõimudel on jaotuskanalJa seda kanalit nimetatakse üha enamoskus: väike ja jagatav õppematerjal, mis õpetab agendile (ja sageli ka kasutajale), kuidas ülesannet täita. See on agentide jaoks rakenduste poe hetk – välja arvatud see, et rakendused on sagelihinnaalanduse juhised.
Selle nädala teated pahatahtlike OpenClawi oskuste kohta on varajane ja väga vali signaal, et me oleme kordamas avatud lähtekoodiga tarneahela ajalugu – aga omapärase keerdkäiguga: kompileeritud sõltuvuse mürgitamise asemel saavad ründajad mürgitada...dokumentatsioonja kasutage agendi abivalmidust määrdeainena.
Allpool on praktiline selgitus selle kohta, mis juhtus, miks see nii hästi toimib ja mida saate sellega ette võtta.
Mis on OpenClawi oskused (ja miks need on olulised)
OpenClaw populariseeris lihtsa laiendusmudeli: sisestage „oskus“, mis selgitab, kuidas teha kitsast ülesannet – postitada sotsiaalmeedias, puhastada kaustu, teha kokkuvõte aruandest, automatiseerida töövoogu – ja agent saab uue võimekuse.
Laiemas „agentide oskuste” ökosüsteemis on oskus tavaliselt kaust, mis on üles ehitatudSKILL.mdfail. See fail sisaldab:
- Metaandmed(nimi / kirjeldus)
- Juhised(tegelikud sammud)
- Valikuliselt:skriptidja muud komplekteeritud varad
See kõlab heatahtlikult, sest see näeb välja nagu dokumentatsioon. Aga dokumentatsioon on just see, mida inimesed kiiresti järgivad, eriti kui see näeb välja nagu eeltingimuste loend või paigaldusjuhend.
Oskuste puhul on oluline ka „võitja võtab kõik” dünaamika: inimesed eelistavad seda, mis on populaarne, uus ja mis näib aja kokkuhoidvat. See teeb avalikust oskuste turust väärtusliku sihtmärgi: kompromissi leidmine mõne populaarseima allalaadimisega annab võimaluse jõuda kontsentreeritud hulga võimaste kasutajateni – arendajateni, operaatoriteni ja kõigini, kellel on oma arvutis väärtuslikud volitused.
Põhinipp: Markdown pole enam "sisu" – see on installiprogramm
Traditsioonilised tarkvara tarneahela rünnakud nõuavad sageli tehnilisi investeeringuid: sõltuvuste segadus, trükiviga, pahatahtlikud installijärgsed skriptid, paketi nime üle kontrolli säilitamine ja skannerite vältimine.
Oskuste turg langetab lati.
Pahatahtlik oskus võib teha midagi nii lihtsat nagu see:
- Esitage usutav tööriist („Twitteri oskus“, „krüptojälgija“, „automaatika abimees“).
- Lisage jaotis „Eeltingimused” koos „nõutava sõltuvusega”.
- Paku mugavat linki ja üherealist käsku.
- Selle teostamisel lootke inimesele (või agendile).
See pole uus sotsiaalse manipuleerimise idee – seda on kasutatud aastaid –, vaid agentide töövoodvõimendamasee:
- Agendid võtavad dokumente enesekindlalt kokku („Käivita see lihtsalt sõltuvuse installimiseks“).
- Agendid vähendavad hõõrdumist, genereerides teie eest käsu.
- Mõnes seadistuses saavad agendid ise shellikäsklusi käivitada.
Sel hetkel muutub „dokumentatsioon” kaugteostuse teeks.
Mida aruanded OpenClawi ökosüsteemis juhtusid
Mitmed artiklid kirjeldavad kampaaniat, mille käigus ründajad laadisid ClawHubi turuplatsile üles suure hulga pahatahtlikke oskusi ja kasutasid infot varastava pahavara edastamiseks „seadistussamme“.
1Passwordi Jason Melleri sõnul hõlmas üks enim allalaaditud oskus juhiseid, mis suunasid kasutajad etapiviisilisse edastusahelasse: link „sõltuvusele“, hägustatud käsk ja seejärel kasulik koormus, mis lõpuks installis infovarastaja, mis oli loodud masinast väärtuslike saladuste röövimiseks.
CyberInsider kirjeldab Koi Security uuringule viidates sarnast mustrit laiemas plaanis: troojalaste nakatatud oskused koos „eeltingimustega“, mis juhendavad kasutajaid käivitama hägustatud shelliskripte või laadima alla parooliga kaitstud arhiive, mille tulemuseks on sellised kasulikud programmid nagu Atomic macOS Stealer (AMOS) – pahavara perekond, mida seostatakse volituste varguse ja rahakoti sihtimisega.
Olenemata sellest, kas täpsed arvud aruannete vahel erinevad,kujuon järjepidev:
- Oskused, mida kasutatakse levitamiseks
- Veenmiseks kasutatud „eeltingimuslikud” juhised
- Infovaraste kasutamine lõppeesmärgina
See lõppeesmärk on oluline: tänapäevased infovarastajad ei jahi ühte parooli – nad jahivadseansi märgid,brauseri profiilid,SSH-võtmed,pilvepõhised mandaadidjakrüptorahakotidTeisisõnu: asjad, mis muudavad ühe ohustatud sülearvuti laiemaks ohuks.
Miks agendid teevad selle hullemaks kui tavalise pettusega allalaadimislingi?
Kui oled kunagi mõelnud: „Mina selle õnge ei langeks,“ on sul ilmselt õigus, kui oled rahulik ja skeptiline.
Kuid agentide töövood muudavad konteksti:
- Kiirus saab vaikimisi.Sa kasutad agenti, sest soovid kiiresti tegutseda.
- Kognitiivne koormus on tellitud alltöövõtjalt.Agent muudab segase juhiste lehe enesekindlaks kontrollnimekirjaks.
- Autoriteet on laenatud.Kui agent ütleb: „See on standardne sõltuvus”, tundub see olevat kontrollitud.
Teisisõnu: agenti ei pea tehnilises mõttes "petta". Ta peab lihtsalt kohal olema, kui sind riskantse asja tegema sunditakse. Sellest piisab käitumise mõjutamiseks.
Ja kui sinateelubades agendil käske otse käivitada, võib pahatahtlik oskus muutuda „käed-vabad kompromiteerimiseks“.
„Aga kuidas on lood MCP-ga? Kas see ei peaks tööriistu ohutumaks muutma?“
Model Context Protocol (MCP) on tööriistadele juurdepääsu struktureerimisel suur samm edasi. See standardiseerib, kuidas hostid tööriistu, ressursse ja juhiseid avaldavad, ning rõhutab kasutaja nõusolekut ja kontrolli.
Kuid MCP ei muuda "oskusi" maagiliselt ohutuks.
Miks?
- Oskused saavad anda kasutajatele juhiseid käskude käivitamiseks väljaspool MCP piire.
- Oskused võivad olla seotud skriptide või allalaadimistega, mis ei puutu kunagi kokku MCP-ga.
- Mitte iga oskus ei kasuta MCP-d üldse.
MCP-st saab abi, kui host rakendab tugevat lubade küsimist, selgeid nõusoleku küsimisi, logimist ja turvalisi vaikesätteid. Kuid markdown-põhine levitamismehhanism saab sellest ikkagi mööda hiilida tavalise sotsiaalse manipuleerimise abil.
See on tarneahela turvalisuse agendi versioon (ja me oleme siin varem olnud)
Tarkvaramaailm õppis seda valusalt:
- Populaarseid registreid kuritarvitatakse.
- Typosquatting toimib.
- „Installi see abimees” on tavaline sisenemispunkt.
- Kõige väärtuslikumad ohvrid on need, kes asju ehitavad.
Oskuste turuplatsid ühendavad need õppetunnid kahe uue kiirendiga:
- „Pakett” võib olla juhis, mitte kood – ja juhiseid on raskem usaldusväärselt skannida.
- Käituskeskkond on mandaatiderikaskavandatud: brauserid logivad sisse kõigesse, terminalid SSH-võtmetega, pilvepõhised CLI-d, paroolihaldurid ja kohalikud failid.
Teatud mõttes on oskuste turg rakenduste pood, kus parimad rakendused saavad öelda: „Kopeeri ja kleebi see Terminali, et funktsioon lubada.“ See pole ühe märkeruuduga lahendatav probleem.
Praktilised kaitsemeetmed (tavakasutajatele)
Kui katsetate agendiga, millel on lokaalne juurdepääs, peate seda kohtlema nagu uut operatsioonisüsteemi kasutajat, kellel on supervõimed.
Siin on pragmaatiline lähtepunkt:
- Kasutage spetsiaalset masinat või virtuaalmasinatAgendi katsete jaoks. Salvestatud ettevõtte sisselogimisi pole. Tootmiskeskkonna SSH-võtmeid pole. Pilveadministraatori seansse pole.
- Üherealiste installijate puhul on vaikesäte „ei“.Eriti kõik, mis suunab skripti sh-sse, kasutab base64-d või palub eemaldada operatsioonisüsteemi kaitsed.
- Ära usalda „kõige populaarsemaid allalaaditud versioone”.Populaarsus on kasvuhäkk, mitte turvamudel.
- Kui oled juba midagi käivitanud, siis pööra esmalt olulist.Brauserisessioonid, SSH-võtmed, API-tokenid, pilvevõtmed.
- Eelistatakse oskusi, mis on allikakontrolli all ja mida saab üle vaadata(Giti repositooriumid ajalooga, teadaolevate hooldajatega, selge päritoluga).
Mida peaksid turuplatsid tegema (kui nad tahavad ellu jääda)
Kui haldate avalikku oskuste registrit, haldate rünnakupinda.
Mõned praktilised sammud, mis rünnaku kulusid märkimisväärselt suurendavad:
- Kirjastaja maine ja päritolu(kinnitatud isikud, ajalugu, allkirjastamine).
- Automatiseeritud skaneeriminekahtlaste mustrite puhul (kodeeritud kasulikud koormused, hägustatud üherealised laused, karantiini eemaldamine, parooliga kaitstud arhiivid, „installi põhisõltuvus” koos väljaspool saiti asuvate linkidega).
- Hoiatus kasutajaliidese hõõrdumisestväliste linkide ja shellikäskude jaoks.
- Kiire eemaldamine ja nähtav intsidendile reageerimine(käitu selle all nagu rakenduste poodi, mitte prügikasti).
Ükski neist pole täiuslik, aga need võidavad aega – ja just seda kaitsjad vajavadki.
Mida peaksid agendiehitajad edaspidi eeldama
Kui sa ise agendi käituskeskkonda lood, siis eelda, et oskused relvastatakse.
See tähendab:
- Vaikimisi keelatava käsu täitmine(nõuab käsupõhist nõusolekut, mitte ühekordseid lülitusi).
- Tugev liivakastfailisüsteemi ja brauseri juurdepääsuks.
- Piiratud ulatusega ja ajaliselt piiratud õigusedlihtsa tagasivõtmisega.
- Auditeeritavad logidsellest, mida agent luges ja mida ta ellu viis.
Lõppseisund on sama suund, kuhu pilv aastaid tagasi liikus: identiteet, poliitika, vähimad privileegid ja auditeerimisjäljed – aga taandatud tööjaama tasemele.
Lõpptulemus
OpenClawi oskuste lugu ei ole lihtsalt "mõned inimesed laadisid üles pahavara". See on eelvaade järgmisest tarneahela lahinguväljast:oskused levitamisena, allahindlus teostusviisina ja agendid kiirendina.
Kui agendid hakkavad elama meie isiklikel ja töömasinatel, vajab ökosüsteem usalduskihti, mis käsitleb oskuste turge nagu rakenduste poode, dokumentatsiooni nagu koodi ja „kasulikku automatiseerimist” privilegeeritud toiminguna, mitte juhusliku mugavusena.
Allikad
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18