Negli ultimi due anni, "agente AI" ha smesso di essere un termine di marketing e ha iniziato a essere un vero e proprio flusso di lavoro: un assistente in grado di leggere i file, aprire il browser, eseguire comandi e unire azioni tra i servizi. Questa è la promessa.
Il problema è cheil potere ha un canale di distribuzioneE quel canale è sempre più chiamato unabilità: un piccolo pacchetto "how-to" condivisibile che insegna a un agente (e spesso all'utente) come svolgere un compito. È il momento dell'App Store per gli agenti, solo che le "app" sono spessoistruzioni di markdown.
I report di questa settimana sulle competenze OpenClaw dannose sono un segnale precoce e molto forte che stiamo per ripetere la storia della supply chain open source, ma con una svolta: invece di avvelenare una dipendenza compilata, gli aggressori possono avvelenaredocumentazionee usare la disponibilità dell'agente come lubrificante.
Di seguito una spiegazione pratica di cosa è successo, perché funziona così bene e cosa si può fare al riguardo.
Cosa sono le competenze OpenClaw (e perché sono importanti)
OpenClaw ha reso popolare un semplice modello di estensione: basta inserire una "competenza" che spiega come svolgere un compito specifico (pubblicare sui social media, pulire cartelle, riassumere un report, automatizzare un flusso di lavoro) e l'agente acquisisce una nuova capacità.
Nell'ecosistema più ampio delle "competenze degli agenti", una competenza è in genere una cartella costruita attorno a unSKILL.mdfile. Quel file contiene:
- Metadati(nome / descrizione)
- Istruzioni(i passaggi effettivi)
- Facoltativamente:scripte altre risorse in bundle
Sembra una cosa innocua, perché sembra documentazione. Ma la documentazione è esattamente ciò che le persone seguono rapidamente, soprattutto quando si presenta come un elenco di prerequisiti o una guida all'installazione.
Le competenze hanno anche una dinamica del tipo "chi vince prende tutto": le persone gravitano attorno a ciò che è popolare, a ciò che è nuovo e a ciò che sembra far risparmiare tempo. Questo rende un mercato pubblico delle competenze un obiettivo di alto valore: compromettendo alcuni download frequenti, è possibile raggiungere un gruppo concentrato di utenti esperti: sviluppatori, operatori e chiunque abbia credenziali preziose sul proprio computer.
Il trucco principale: il markdown non è più un "contenuto", è un programma di installazione
Gli attacchi tradizionali alla supply chain del software spesso richiedono investimenti tecnici: confusione sulle dipendenze, typosquatting, script post-installazione dannosi, mantenimento del controllo sul nome di un pacchetto ed elusione degli scanner.
Un mercato delle competenze abbassa l'asticella.
Un'abilità dannosa può fare qualcosa di semplice come questo:
- Presentare uno strumento plausibile ("abilità Twitter", "tracker di criptovalute", "helper di automazione").
- Aggiungere una sezione "Prerequisiti" con una "dipendenza richiesta".
- Fornire un collegamento pratico e un comando di una sola riga.
- Affidarsi all'essere umano (o all'agente) per eseguirlo.
Non si tratta di una nuova idea di ingegneria sociale, è in uso da anni, ma i flussi di lavoro degli agentiamplificareEsso:
- Gli agenti riassumono i documenti con sicurezza ("Basta eseguire questo per installare la dipendenza").
- Gli agenti riducono l'attrito generando il comando per te.
- In alcune configurazioni, gli agenti possono eseguire autonomamente i comandi shell.
A quel punto, la “documentazione” diventa un percorso di esecuzione remota.
Cosa dicono i report su quanto accaduto nell'ecosistema OpenClaw
Diversi articoli descrivono una campagna in cui gli aggressori hanno caricato un gran numero di competenze dannose sul marketplace ClawHub e hanno utilizzato "fasi di configurazione" per distribuire malware che ruba informazioni.
Secondo Jason Meller di 1Password, una skill scaricata dall'alto includeva istruzioni che indirizzavano gli utenti verso una catena di distribuzione graduale: un collegamento a una "dipendenza", un comando offuscato e poi un payload che alla fine installava un infostealer progettato per saccheggiare la macchina alla ricerca di segreti preziosi.
CyberInsider, citando una ricerca di Koi Security, descrive un modello simile su larga scala: competenze trojanizzate con "prerequisiti" che istruiscono gli utenti a eseguire script shell offuscati o a scaricare archivi protetti da password, culminando in payload come Atomic macOS Stealer (AMOS), una famiglia di malware associata al furto di credenziali e al targeting dei portafogli.
Se i conteggi esatti differiscono tra i report, ilformaè coerente:
- Competenze utilizzate come distribuzione
- Istruzioni “prerequisito” utilizzate come persuasione
- Infostealer utilizzati come obiettivo finale
L'obiettivo finale è importante: i moderni infostealer non sono alla ricerca di una sola password, ma ditoken di sessione,profili del browser,chiavi SSH,credenziali cloud, Eportafogli crittograficiIn altre parole: tutto ciò che trasforma un computer portatile compromesso in un compromesso più ampio.
Perché gli agenti rendono questo peggio di un normale link di download truffaldino
Se hai mai pensato: "Non ci cascherei", probabilmente hai ragione quando sei calmo e scettico.
Ma i flussi di lavoro degli agenti cambiano il contesto:
- La velocità diventa l'impostazione predefinita.Ti affidi a un agente perché vuoi agire rapidamente.
- Il carico cognitivo è esternalizzato.L'agente trasforma una pagina di istruzioni disordinata in una checklist affidabile.
- L'autorità è presa in prestito.Se l'agente dice "Questa è la dipendenza standard", sembra verificata.
In altre parole: l'agente non ha bisogno di essere "ingannato" in senso tecnico. Deve solo essere presente mentre ti viene chiesto di fare qualcosa di rischioso. Questo è sufficiente per suggerire un comportamento.
E se tuFareSe si consente all'agente di eseguire comandi direttamente, un'abilità dannosa può trasformarsi in un "compromesso a mani libere".
"Ma che dire dell'MCP? Non dovrebbe rendere gli utensili più sicuri?"
Il Model Context Protocol (MCP) rappresenta un vero passo avanti nella strutturazione dell'accesso agli strumenti. Standardizza il modo in cui gli host espongono strumenti, risorse e prompt, e sottolinea il consenso e il controllo dell'utente.
Tuttavia, MCP non rende magicamente sicure le "competenze".
Perché?
- Le competenze possono indicare agli utenti di eseguire comandi al di fuori dei confini MCP.
- Le competenze possono essere collegate a script o download che non toccano mai MCP.
- Non tutte le abilità utilizzano MCP.
MCP può essere d'aiuto quando l'host implementa un sistema di autorizzazione avanzato, richieste di consenso chiare, logging e impostazioni predefinite sicure. Tuttavia, un meccanismo di distribuzione basato su markdown può comunque aggirarlo tramite la classica ingegneria sociale.
Questa è la versione agente della sicurezza della supply chain (e ci siamo già passati)
Il mondo del software ha imparato a sue spese che:
- I registri popolari vengono abusati.
- Il typosquatting funziona.
- "Installa questo helper" è un punto di ingresso comune.
- Le vittime più preziose sono quelle che costruiscono le cose.
I mercati delle competenze combinano queste lezioni con due nuovi acceleratori:
- Il “pacchetto” può essere costituito da istruzioni, non codice, e le istruzioni sono più difficili da leggere in modo affidabile.
- L'ambiente di runtime è ricco di credenzialiin base alla progettazione: browser che accedono a tutto, terminali con chiavi SSH, CLI cloud, gestori di password e file locali.
In un certo senso, uno skill marketplace è un app store in cui le app più popolari possono dire "Copia e incolla questo nel Terminale per abilitare la funzionalità". Questo non è un problema risolvibile con una sola casella di controllo.
Difese pratiche (per utenti normali)
Se si sta sperimentando un agente con accesso locale, è necessario trattarlo come un nuovo utente del sistema operativo dotato di superpoteri.
Ecco la base pragmatica:
- Utilizzare una macchina o una VM dedicataPer esperimenti con agenti. Nessun accesso aziendale salvato. Nessuna chiave SSH di produzione. Nessuna sessione di amministrazione cloud.
- Imposta come predefinito "no" sugli installer a riga singola.In particolare, tutto ciò che si collega a sh, utilizza base64 o chiede di rimuovere le protezioni del sistema operativo.
- Non fidarti di "più scaricati".La popolarità è un modo per crescere, non un modello di sicurezza.
- Se hai già eseguito qualcosa, ruota prima ciò che conta.Sessioni del browser, chiavi SSH, token API, chiavi cloud.
- Preferire competenze controllate alla fonte e revisionabili(Repository Git con cronologia, responsabili noti, provenienza chiara).
Cosa dovrebbero fare i marketplace (se vogliono sopravvivere)
Se gestisci un registro pubblico delle competenze, stai gestendo una superficie di attacco.
Alcuni passaggi pratici che aumentano significativamente i costi per gli aggressori:
- Reputazione e provenienza dell'editore(identità verificate, cronologia, firma).
- Scansione automaticaper modelli sospetti (payload codificati, one-liner offuscati, rimozione della quarantena, archivi protetti da password, "installa dipendenza core" con link esterni).
- Avviso di attrito dell'interfaccia utenteper collegamenti esterni e comandi shell.
- Smontaggio rapido e risposta visibile agli incidenti(trattalo come un app store, non come un pastebin).
Nessuna di queste soluzioni è perfetta, ma fa guadagnare tempo, e il tempo è ciò di cui i difensori hanno bisogno.
Cosa dovrebbero aspettarsi i costruttori di agenti in futuro
Se si sta creando l'ambiente di esecuzione dell'agente stesso, si presuppone che le competenze saranno trasformate in armi.
Ciò significa:
- Esecuzione del comando Default-deny(richiedono il consenso per ogni comando, non attivazioni una tantum).
- Sandboxing forteper l'accesso al file system e al browser.
- Autorizzazioni limitate nel tempo e con ambito definitocon facile revoca.
- Registri verificabilidi ciò che l'agente ha letto e di ciò che ha eseguito.
Lo stato finale è la stessa direzione intrapresa dal cloud anni fa: identità, policy, privilegi minimi e audit trail, ma riportati al livello della workstation.
In conclusione
La storia delle competenze di OpenClaw non riguarda solo il fatto che "alcune persone hanno caricato malware". È un'anteprima del prossimo campo di battaglia della supply chain:competenze come distribuzione, markdown come percorso di esecuzione e agenti come acceleratore.
Se gli agenti devono vivere sui nostri computer personali e di lavoro, l'ecosistema ha bisogno di un livello di fiducia che tratti i mercati delle competenze come app store, tratti la documentazione come codice e consideri "l'automazione utile" come un'operazione privilegiata, non una comodità casuale.
Fonti
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribuisce-malware-macos-tramite-istruzioni-clickfix/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18