'기술'이 공급망이 될 때: 오픈클로 마켓플레이스 악성코드 사태가 경종을 울린다

지난 몇 년 동안 "AI 에이전트"는 단순한 마케팅 용어를 넘어 실제 워크플로우를 의미하는 단어로 자리 잡았습니다. 파일을 읽고, 브라우저를 열고, 명령어를 실행하고, 여러 서비스의 작업을 통합할 수 있는 도우미가 된 것입니다. 이것이 바로 AI 에이전트의 미래입니다.

문제는 바로 이것입니다.전력에는 유통 채널이 있습니다.그리고 그 채널은 점점 더 그렇게 불리고 있습니다.기능에이전트(그리고 종종 사용자)에게 특정 작업을 수행하는 방법을 알려주는 작고 공유 가능한 "사용법 안내" 패키지입니다. 에이전트를 위한 앱 스토어와 같은 개념이지만, 이러한 "앱"은 종종마크다운 지침.

이번 주에 보고된 악성 OpenClaw 스킬 관련 소식은 오픈소스 공급망 역사의 한복판이 재현될 조짐을 보여주는 매우 강력한 초기 신호입니다. 다만, 컴파일된 종속성을 오염시키는 대신, 공격자는 자체적으로 악성 코드를 유포할 수 있다는 점에서 차이가 있습니다.선적 서류 비치그리고 그 약제의 도움을 윤활유로 활용하십시오.

아래는 실제로 어떤 일이 일어났는지, 왜 그렇게 효과적인지, 그리고 여러분이 무엇을 할 수 있는지에 대한 실용적인 설명입니다.

OpenClaw 스킬이란 무엇이며, 왜 중요한가?

OpenClaw는 간단한 확장 모델을 대중화했습니다. 소셜 미디어 게시, 폴더 정리, 보고서 요약, 워크플로 자동화와 같은 특정 작업을 수행하는 방법을 설명하는 "스킬"을 추가하면 상담원이 새로운 기능을 활용할 수 있게 되는 방식입니다.

더 넓은 "에이전트 스킬" 생태계에서 스킬은 일반적으로 특정 요구 사항을 중심으로 구성된 폴더입니다.스킬.md파일. 해당 파일에는 다음 내용이 포함되어 있습니다.

  • 메타데이터(이름/설명)
  • 지침(실제 단계)
  • 선택 사항:스크립트및 기타 번들 자산

그건 문서처럼 보여서 별문제 없어 보일 수 있습니다. 하지만 사람들은 문서, 특히 필수 조건 목록이나 설치 가이드처럼 보이는 것을 가장 먼저 따라합니다.

스킬 시장에는 '승자 독식'의 역학 관계가 존재합니다. 사람들은 인기 있는 것, 새로운 것, 그리고 시간을 절약해 줄 것 같은 것에 몰립니다. 따라서 공개 스킬 마켓플레이스는 매우 가치 있는 목표물이 됩니다. 인기 있는 몇 가지 다운로드를 확보하면 개발자, 운영자, 그리고 컴퓨터에 중요한 자격증명을 보유한 모든 사람과 같은 핵심 사용자층에 집중적으로 접근할 수 있기 때문입니다.

핵심 비결은 바로 이것입니다. 마크다운은 더 이상 "콘텐츠"가 아니라 설치 프로그램이라는 점입니다.

기존 소프트웨어 공급망 공격은 종종 기술적 투자를 필요로 합니다. 여기에는 종속성 혼동, 타이포스쿼팅, 악성 설치 후 스크립트, 패키지 이름 제어 유지, 스캐너 회피 등이 포함됩니다.

기술 마켓플레이스는 진입 장벽을 낮춥니다.

악의적인 스킬은 이처럼 간단한 일을 할 수 있습니다.

  1. 타당한 도구(예: "트위터 스킬", "암호화폐 추적기", "자동화 도우미")를 제시하십시오.
  2. "필수 종속성"이 포함된 "사전 요구 사항" 섹션을 추가하세요.
  3. 편리한 링크와 한 줄짜리 명령어를 제공하세요.
  4. 실행은 사람(또는 에이전트)에게 맡기세요.

이는 새로운 사회공학적 아이디어가 아닙니다. 수년 동안 사용되어 왔습니다. 하지만 에이전트 워크플로는 다릅니다.더욱 상 세히 하다그것:

  • 상담원들은 문서 내용을 자신 있게 요약합니다("이 명령어를 실행하기만 하면 종속성이 설치됩니다").
  • 에이전트는 명령어를 생성해 줌으로써 사용자의 불편함을 줄여줍니다.
  • 일부 설정에서는 에이전트가 셸 명령을 직접 실행할 수 있습니다.

그 시점에서 "문서화"는 원격 실행 경로가 됩니다.

보고서에 따르면 오픈클로 생태계에서 무슨 일이 일어났을까요?

여러 보고서에 따르면 공격자들은 ClawHub 마켓플레이스에 대량의 악성 스킬을 업로드하고 "설치 단계"를 이용하여 정보 탈취 악성 소프트웨어를 배포하는 캠페인을 벌였습니다.

1Password의 제이슨 멜러에 따르면, 가장 많이 다운로드된 스킬 중 하나에는 사용자를 단계별 전달 체인으로 유도하는 지침이 포함되어 있었습니다. 이 체인에는 "종속성" 링크, 난독화된 명령, 그리고 최종적으로 컴퓨터에서 중요한 비밀 정보를 빼내도록 설계된 정보 탈취 악성 프로그램을 설치하는 페이로드가 포함되어 있었습니다.

사이버인사이더는 코이 시큐리티의 연구를 인용하여 유사한 패턴이 대규모로 나타난다고 설명합니다. 트로이목마화된 스킬은 "사전 요구 사항"을 통해 사용자에게 난독화된 셸 스크립트를 실행하거나 암호로 보호된 아카이브를 다운로드하도록 지시하며, 최종적으로는 자격 증명 탈취 및 지갑 공격과 관련된 악성코드 계열인 AMOS(Atomic macOS Stealer)와 같은 페이로드를 실행합니다.

보고서마다 정확한 수치가 다를 수 있지만,모양일관성이 있습니다:

  • 배포에 사용되는 기술
  • 설득 수단으로 사용된 "사전 요구 사항" 지침
  • 정보 탈취는 최종 목표로 사용됩니다.

최종 목표가 중요합니다. 현대의 정보 탈취범들은 하나의 비밀번호를 노리는 것이 아니라, 여러 정보를 노리고 있습니다.세션 토큰,브라우저 프로필,SSH 키,클라우드 자격 증명, 그리고암호화폐 지갑다시 말해, 노트북 하나가 해킹당하면 더 광범위한 보안 침해로 이어지는 요소들을 말합니다.

"나는 그런 사기에 속지 않을 거야"라고 생각해 본 적이 있다면, 침착하고 회의적인 태도를 유지한다면 당신의 생각이 맞을 가능성이 높습니다.

하지만 상담원 워크플로는 상황을 바꿉니다.

  • 속도가 기본값이 된다.부동산 중개인을 이용하는 이유는 신속하게 움직이고 싶기 때문입니다.
  • 인지 부하는 외부로 위탁됩니다.상담원은 어수선한 안내문을 자신감 넘치는 체크리스트로 바꿔놓습니다.
  • 권위는 빌려온 것이다.상담원이 "이것은 표준적인 부양 가족입니다"라고 말하면, 검증된 것처럼 느껴집니다.

다시 말해, 에이전트를 기술적인 의미에서 "속일" 필요는 없습니다. 위험한 행동을 하도록 유도될 때 에이전트가 그 자리에 있기만 하면 됩니다. 그것만으로도 행동 변화를 유도하기에 충분합니다.

그리고 만약 당신이하다에이전트가 명령을 직접 실행할 수 있도록 허용하면 악성 스킬이 "핸즈프리 침해"로 이어질 수 있습니다.

'하지만 MCP는 어떻습니까? MCP는 공구를 더 안전하게 만들어주는 것 아닌가요?'

모델 컨텍스트 프로토콜(MCP)은 도구 접근 구조화에 있어 진정한 진전입니다. MCP는 호스트가 도구, 리소스 및 프롬프트를 노출하는 방식을 표준화하고 사용자 동의 및 제어를 강조합니다.

하지만 MCP가 마법처럼 "스킬"을 안전하게 만들어주는 것은 아닙니다.

왜?

  • 스킬은 사용자가 MCP 경계 외부에서 명령을 실행하도록 지시할 수 있습니다.
  • 스킬은 MCP를 전혀 거치지 않는 스크립트나 다운로드에 연결될 수 있습니다.
  • 모든 스킬이 MCP를 사용하는 것은 아닙니다.

MCP는 호스트가 강력한 권한 설정, 명확한 동의 요청, 로깅 및 안전한 기본 설정을 구현할 때 도움이 될 수 있습니다. 그러나 마크다운 기반 배포 메커니즘은 여전히 ​​일반적인 소셜 엔지니어링을 통해 이를 우회할 수 있습니다.

이것은 공급망 보안의 에이전트 버전입니다(그리고 우리는 이미 이런 상황을 경험한 적이 있습니다).

소프트웨어 업계는 뼈아픈 교훈을 얻었다:

  • 인기 있는 레지스트리가 악용되는 경우가 있습니다.
  • 타이포스쿼팅은 효과가 있다.
  • “이 도우미 프로그램을 설치하세요”는 흔히 볼 수 있는 시작점입니다.
  • 가장 값진 희생자는 무언가를 만들어내는 사람들이다.

스킬 마켓플레이스는 이러한 교훈들을 두 가지 새로운 촉진 요인과 결합합니다.

  1. "패키지"는 지침일 수 있습니다.코드가 아니라 지침입니다. 지침은 정확하게 스캔하기가 더 어렵습니다.
  2. 런타임 환경은 자격 증명으로 가득 차 있습니다.설계 의도: 모든 곳에 로그인된 브라우저, SSH 키가 있는 터미널, 클라우드 CLI, 암호 관리자 및 로컬 파일.

어떤 의미에서 스킬 마켓플레이스는 앱 스토어와 같은데, 거기서 인기 앱들은 "이 코드를 터미널에 복사해서 붙여넣으면 기능을 활성화할 수 있습니다."라고 말할 수 있죠. 이건 체크박스 하나로 해결할 수 있는 문제가 아닙니다.

(일반 사용자를 위한) 실질적인 방어책

로컬 액세스 권한이 있는 에이전트를 테스트하는 경우, 마치 강력한 권한을 가진 새로운 운영 체제 사용자처럼 다뤄야 합니다.

실용적인 기준은 다음과 같습니다.

  1. 전용 머신이나 가상 머신을 사용하세요.에이전트 실험용입니다. 저장된 회사 로그인 정보는 없습니다. 운영 SSH 키도 없습니다. 클라우드 관리자 세션 정보도 없습니다.
  2. 한 줄 명령으로 설치하는 경우 기본값은 "아니요"입니다.특히 curl 명령어를 sh 명령어로 파이프하거나, base64를 사용하거나, 운영체제 보호 기능을 제거하라고 요구하는 모든 작업에서 그렇습니다.
  3. "가장 많이 다운로드된 사람"이라는 말을 믿지 마세요.인기는 성장을 위한 전략이지, 안정적인 모델이 아닙니다.
  4. 이미 무언가를 실행했다면 중요한 것부터 먼저 로테이션하세요.브라우저 세션, SSH 키, API 토큰, 클라우드 키.
  5. 소스 코드 관리가 가능하고 검토 가능한 기술을 선호합니다.(이력 정보가 ​​있는 Git 저장소, 알려진 관리자, 명확한 출처).

마켓플레이스가 살아남으려면 무엇을 해야 할까요?

공개 스킬 레지스트리를 운영한다면 공격 표면을 운영하는 것과 마찬가지입니다.

공격자의 비용을 의미 있게 높이는 몇 가지 실질적인 조치:

  • 출판사 평판 및 출처(신원 확인, 이력, 서명).
  • 자동 스캔의심스러운 패턴(인코딩된 페이로드, 난독화된 한 줄짜리 명령, 격리 해제, 암호로 보호된 아카이브, 외부 링크가 포함된 "핵심 종속성 설치" 등)을 탐지합니다.
  • 경고 UI 마찰외부 링크 및 셸 명령의 경우.
  • 신속한 사태 진압 및 가시적인 사건 대응(앱스토어처럼 생각하세요, 페이스트빈처럼 생각하지 마세요.)

이 방법들이 완벽한 것은 아니지만, 시간을 벌어주는 데는 도움이 됩니다. 그리고 시간은 수비수에게 필요한 것이죠.

부동산 중개업자들이 앞으로 예상해야 할 사항은 무엇일까요?

에이전트 런타임 자체를 구축하는 경우, 스킬이 무기화될 수 있다고 가정해야 합니다.

즉, 다음과 같은 의미입니다.

  • 기본적으로 명령 실행을 거부합니다.(한 번 설정하면 영구적으로 변경되는 것이 아니라, 명령별로 동의를 구해야 합니다.)
  • 강력한 샌드박싱파일 시스템 및 브라우저 접근을 위해서입니다.
  • 범위가 지정되고 기간이 제한된 권한취소가 간편합니다.
  • 감사 가능한 로그에이전트가 읽은 내용과 실행한 내용.

최종 목표는 수년 전 클라우드가 나아갔던 방향과 동일합니다. 즉, ID, 정책, 최소 권한 및 감사 추적을 워크스테이션 수준까지 끌어올리는 것입니다.

결론적으로

OpenClaw의 기술 관련 이야기는 단순히 "몇몇 사람들이 악성 소프트웨어를 업로드했다"는 이야기가 아닙니다. 이는 차세대 공급망 전쟁의 전조입니다.기술은 배포 수단, 마크다운은 실행 경로, 에이전트는 가속기 역할을 합니다.

에이전트가 개인용 및 업무용 컴퓨터에서 작동하려면, 생태계는 스킬 마켓플레이스를 앱 스토어처럼, 문서를 코드처럼, 그리고 "유용한 자동화"를 단순한 편의 기능이 아닌 특권 작업으로 취급하는 신뢰 계층을 구축해야 합니다.


출처

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
한국어