Viime parina vuonna ”tekoälyagentti” on lakannut olemasta markkinointisana ja siitä on tullut todellinen työnkulku: avustaja, joka voi lukea tiedostojasi, avata selaimesi, suorittaa komentoja ja yhdistää toimintoja eri palveluissa. Se on lupaus.
Ongelmana on, ettäsähköllä on jakelukanavaJa tuota kanavaa kutsutaan yhä useammintaito: pieni, jaettava ohjepaketti, joka opettaa agentille (ja usein käyttäjälle) tehtävän suorittamisen. Se on agenttien sovelluskaupan hetki – paitsi että "sovellukset" ovat useinmarkdown-ohjeet.
Tämän viikon raportit haitallisista OpenClaw-taidoista ovat varhainen ja erittäin voimakas signaali siitä, että olemme toistamassa avoimen lähdekoodin toimitusketjujen historiaa – mutta käänteellä: käännetyn riippuvuuden myrkyttämisen sijaan hyökkääjät voivat myrkyttäädokumentaatioja käytä agentin avuliaisuutta voiteluaineena.
Alla on käytännön selitys siitä, mitä tapahtui, miksi se toimii niin hyvin ja mitä voit tehdä asialle.
Mitä OpenClaw-taidot ovat (ja miksi ne ovat tärkeitä)
OpenClaw teki tunnetuksi yksinkertaisen laajennusmallin: lisää "taito", joka selittää, miten suoritetaan kapea tehtävä – julkaistaan sosiaalisessa mediassa, tyhjennetään kansioita, tiivistetään raportti, automatisoidaan työnkulku – ja agentti saa uuden ominaisuuden.
Laajemmassa ”agenttitaitojen” ekosysteemissä taito on tyypillisesti kansio, joka on rakennettu jonkin tietyn funktion ympärille.SKILL.mdtiedosto. Tiedosto sisältää:
- Metatiedot(nimi / kuvaus)
- Ohjeet(varsinaiset vaiheet)
- Valinnaisesti:skriptitja muut niputetut omaisuuserät
Tuo kuulostaa hyödyttömältä, koska se näyttää dokumentaatiolta. Mutta dokumentaatio on juuri sitä, mitä ihmiset seuraavat nopeasti, varsinkin kun se näyttää edellytysten luettelolta tai asennusoppaalta.
Taidoissa on myös "voittaja vie kaiken" -dynamiikka: ihmiset hakeutuvat suosittuihin, uusiin ja ajansäästöä näyttäviin asioihin. Tämä tekee julkisesta osaamismarkkinapaikasta arvokkaan kohteen: muutamalla suosituimmalla latauskerralla voit tavoittaa keskittyneen joukon tehokäyttäjiä – kehittäjiä, operaattoreita ja kaikkia, joilla on arvokkaita tunnistetietoja koneellaan.
Ydintemppu: Markdown ei ole enää "sisältöä" – se on asennusohjelma
Perinteiset ohjelmistojen toimitusketjuhyökkäykset vaativat usein teknisiä investointeja: riippuvuusongelmia, kirjoitusvirheitä, haitallisia asennuksen jälkeisiä komentosarjoja, paketin nimen hallinnan ylläpitämistä ja skannerien väistelemistä.
Osaamismarkkinat madaltavat rimaa.
Ilkivaltainen taito voi tehdä jotain näin yksinkertaista:
- Esitä uskottava työkalu (”Twitter-taito”, ”kryptovaluuttojen seuranta”, ”automaatioavustaja”).
- Lisää ”Edellytykset”-osio, jossa on ”vaadittu riippuvuus”.
- Tarjoa kätevä linkki ja yhdellä rivillä kirjoitettu komento.
- Luota ihmiseen (tai agenttiin) sen toteuttamisessa.
Se ei ole uusi sosiaalisen manipuloinnin idea – sitä on käytetty vuosia – mutta agenttien työnkulutvahvistaase:
- Agentit tiivistävät dokumentit luottavaisin mielin ("Suorita tämä asentaaksesi riippuvuuden").
- Agentit vähentävät kitkaa luomalla komennon puolestasi.
- Joissakin kokoonpanoissa agentit voivat suorittaa komentotulkkikomentoja itse.
Siinä vaiheessa "dokumentaatiosta" tulee etäsuorituspolku.
Mitä raporttien mukaan tapahtui OpenClaw-ekosysteemissä
Useissa kirjoituksissa kuvataan kampanjaa, jossa hyökkääjät latasivat suuren määrän haitallisia taitoja ClawHub-markkinapaikkaan ja käyttivät "asennusvaiheita" infosalaisuutta uhkaavien haittaohjelmien toimittamiseen.
1Passwordin Jason Mellerin mukaan eniten ladattu taito sisälsi ohjeet, jotka kanavoivat käyttäjät vaiheittaiseen toimitusketjuun: linkin "riippuvuuteen", hämärretyn komennon ja sitten hyötykuorman, joka lopulta asensi tietovaraston, jonka tarkoituksena oli varastaa koneelta arvokkaita salaisuuksia.
CyberInsider kuvailee Koi Securityn tutkimukseen viitaten samankaltaista kaavaa laajassa mittakaavassa: troijalaiset taidot, joilla on "edellytykset", jotka ohjeistavat käyttäjiä suorittamaan hämärrettyjä komentosarjoja tai lataamaan salasanalla suojattuja arkistoja, huipentuen hyötykuormiin, kuten Atomic macOS Stealer (AMOS) – haittaohjelmaperhe, joka yhdistetään tunnistetietojen varastamiseen ja lompakkoihin kohdistuviin hyökkäyksiin.
Eroavatko tarkat luvut raporttien välillä?muotoon johdonmukainen:
- Jakeluna käytetyt taidot
- "Edellytys"-ohjeita käytetään suostutteluna
- Tietovarkaiden käyttö päämääränä
Lopputavoite on tärkeä: nykyaikaiset tiedonvarkaat eivät ole yhden salasanan perässä – he ovatistuntotunnukset,selainprofiilit,SSH-avaimet,pilvitunnistetiedot, jakryptolompakotToisin sanoen: ne asiat, jotka muuttavat yhden vaarantuneen kannettavan laajemmaksi vaarannukseksi.
Miksi agentit tekevät tästä pahemman kuin tavallisen huijauslatauslinkin
Jos olet joskus ajatellut: "En lankeaisi tuohon", olet luultavasti oikeassa, kun olet rauhallinen ja skeptinen.
Mutta agenttien työnkulut muuttavat kontekstia:
- Nopeudesta tulee oletusarvo.Käytät välittäjää, koska haluat toimia nopeasti.
- Kognitiivinen kuorma ulkoistetaan.Agentti muuttaa sotkuisen ohjesivun itsevarmaksi tarkistuslistaksi.
- Valta on lainattua.Jos agentti sanoo "Tämä on vakioriippuvuus", se tuntuu tarkastetulta.
Toisin sanoen: agentin ei tarvitse olla "huijattu" teknisessä mielessä. Hänen tarvitsee vain olla läsnä, kun sinua kannustetaan tekemään riskialtista asiaa. Se riittää antamaan ymmärtää käyttäytymistä.
Ja jos sinätehdäJos agentti voi suorittaa komentoja suoraan, haitallisesta taidosta voi tulla "kädet vapaana -kompromisseja".
"Mutta entä MCP? Eikö sen ole tarkoitus tehdä työkaluista turvallisempia?"
Model Context Protocol (MCP) on todellinen askel eteenpäin työkalujen käytön jäsentämisessä. Se standardoi, miten isännät paljastavat työkaluja, resursseja ja kehotteita, ja korostaa käyttäjän suostumusta ja hallintaa.
MCP ei kuitenkaan taianomaisesti tee "taidoista" turvallisia.
Miksi?
- Taidot voivat ohjeistaa käyttäjiä suorittamaan komentoja MCP-rajojen ulkopuolella.
- Taidot voivat linkittää skripteihin tai latauksiin, jotka eivät koskaan koske MCP:tä.
- Kaikki taidot eivät käytä MCP:tä ollenkaan.
MCP voi auttaa, kun isäntä ottaa käyttöön vahvat käyttöoikeudet, selkeät suostumuskehotteet, lokinkirjauksen ja turvalliset oletusasetukset. Mutta Markdown-pohjainen jakelumekanismi voi silti kiertää sen tavallisen sosiaalisen manipuloinnin avulla.
Tämä on toimitusketjun suojauksen agenttiversio (ja olemme olleet täällä aiemminkin)
Ohjelmistomaailma oppi kantapään kautta, että:
- Suosittuja rekistereitä käytetään väärin.
- Typosquatting toimii.
- "Asenna tämä apuohjelma" on yleinen aloituskohta.
- Arvokkaimmat uhrit ovat ne, jotka rakentavat asioita.
Osaamismarkkinapaikat yhdistävät nämä opit kahteen uuteen kiihdyttäjään:
- "Paketti" voi olla ohjeet, ei koodia – ja ohjeita on vaikeampi skannata luotettavasti.
- Suoritusympäristö on tunnistetietorikassuunnittelun mukaisesti: selaimet kirjautuvat kaikkeen, päätteet SSH-avaimilla, pilvipohjaiset komentoriviliittymät, salasananhallintajärjestelmät ja paikalliset tiedostot.
Tavallaan osaamismarkkinapaikka on sovelluskauppa, jossa parhaat sovellukset voivat sanoa "Kopioi ja liitä tämä Päätteeseen ottaaksesi ominaisuuden käyttöön". Se ei ole ratkaistava ongelma yhdellä valintaruudulla.
Käytännön puolustuskeinot (tavallisille käyttäjille)
Jos kokeilet agenttia, jolla on paikallinen käyttöoikeus, sinun on kohdeltava sitä kuin uutta käyttöjärjestelmän käyttäjää, jolla on supervoimia.
Tässä on pragmaattinen lähtökohta:
- Käytä erillistä konetta tai virtuaalikonettaagenttikokeiluja varten. Ei tallennettuja yrityskirjautumisia. Ei SSH-avaimia tuotantokäyttöön. Ei pilvihallintaistuntoja.
- Oletusarvo on ”ei” yhden rivin asennusohjelmissa.Erityisesti kaikki, mikä ohjaa curlia sh-muotoon, käyttää base64-koodausta tai pyytää poistamaan käyttöjärjestelmän suojaukset.
- Älä luota "suosituimpiin" latauksiin.Suosio on kasvukikka, ei turvallisuusmalli.
- Jos olet jo suorittanut jonkin tehtävän, kierrätä tärkeimmät ensin.Selainistunnot, SSH-avaimet, API-tokenit, pilviavaimet.
- Eduksi katsotaan taidot, jotka ovat lähteiden ohjaamia ja arvioitavissa(Git-repositoriot historiallisine tiedostoja, tunnetut ylläpitäjät, selkeä alkuperä).
Mitä markkinapaikkojen tulisi tehdä (jos ne haluavat selviytyä)
Jos käytät julkista osaamisrekisteriä, käytät hyökkäyspintaa.
Muutamia käytännön vinkkejä, jotka nostavat hyökkääjän kustannuksia merkittävästi:
- Kustantajan maine ja alkuperä(vahvistetut henkilöllisyydet, historia, allekirjoittaminen).
- Automaattinen skannausepäilyttävien mallien varalta (koodatut hyötykuormat, hämärretyt lauseet, karanteenin poisto, salasanalla suojatut arkistot, "asenna ydinriippuvuus" ulkopuolisilla linkeillä).
- Varoitus käyttöliittymän kitkaulkoisia linkkejä ja komentotulkkikomentoja varten.
- Nopea poisto ja näkyvä reagointi tapahtumiin(käsittele sitä kuin sovelluskauppaa, älä tyhjää roskakoria).
Mikään näistä ei ole täydellinen, mutta ne ostavat aikaa – ja aikaa juuri puolustajat tarvitsevat.
Mitä agenttien rakentajien tulisi olettaa jatkossa
Jos rakennat itse agentin suoritusympäristöä, oleta, että taidot aseistetaan.
Se tarkoittaa:
- Oletusarvoisesti estetty komennon suoritus(vaatii komentokohtaisen suostumuksen, ei kertakäyttöisiä vaihtoja).
- Vahva hiekkalaatikkopelitiedostojärjestelmän ja selaimen käyttöä varten.
- Aikarajoitteiset käyttöoikeudethelpolla peruutuksella.
- Auditoitavat lokitsiitä, mitä agentti luki ja mitä se toteutti.
Lopputila on sama suunta kuin pilvipalvelut vuosia sitten: identiteetti, käytännöt, pienimmät käyttöoikeudet ja tarkastuslokit – mutta nyt työasematasolle asti.
Lopputulos
OpenClawin taitotarina ei ole vain "jotkut ihmiset latasivat haittaohjelmia". Se on esimakua seuraavasta toimitusketjun taistelukentästä:taidot jakeluna, markdown toteutuspolkuna ja agentit kiihdyttäjänä.
Jos agentit aikovat toimia sekä henkilökohtaisilla että työkoneillamme, ekosysteemi tarvitsee luottamuskerroksen, joka kohtelee osaamisalueita sovelluskauppojen tavoin, dokumentaatiota koodin tavoin ja "hyödyllistä automaatiota" etuoikeutettuna operaationa – ei satunnaisena mukavuutena.
Lähteet
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18