Per pastaruosius porą metų „DI agentas“ nustojo būti rinkodaros fraze ir tapo tikru darbo eigos elementu: asistentu, kuris gali skaityti jūsų failus, atidaryti naršyklę, vykdyti komandas ir sujungti veiksmus skirtingose paslaugose. Tai yra pažadas.
Problema ta, kadenergija turi paskirstymo kanaląIr tas kanalas vis dažniau vadinamasįgūdis: mažas, bendrinamas instrukcijų paketas, kuris moko agentą (ir dažnai vartotoją), kaip atlikti užduotį. Tai programėlių parduotuvės akimirka agentams – išskyrus tai, kad „programėlės“ dažnai yraŽymėjimo instrukcijos.
Šios savaitės pranešimai apie kenkėjiškus „OpenClaw“ įgūdžius yra ankstyvas ir labai garsus signalas, kad tuoj pakartosime atvirojo kodo tiekimo grandinės istoriją – tačiau su netikėtumu: užpuolikai gali ne tik užkrėsti kompiliuotą priklausomybę, bet ir...dokumentacijair naudokite agento naudingumą kaip lubrikantą.
Žemiau pateikiamas praktinis paaiškinimas, kas nutiko, kodėl tai veikia taip gerai ir ką galite padaryti.
Kas yra „OpenClaw“ įgūdžiai (ir kodėl jie svarbūs)
„OpenClaw“ išpopuliarino paprastą išplėtimo modelį: įterpkite „įgūdį“, paaiškinantį, kaip atlikti siaurą užduotį – paskelbti socialinėje žiniasklaidoje, išvalyti aplankus, apibendrinti ataskaitą, automatizuoti darbo eigą – ir agentas įgyja naują funkciją.
Platesnėje „agento įgūdžių“ ekosistemoje įgūdis paprastai yra aplankas, sukurtas aplinkSKILL.mdfailas. Tame faile yra:
- Metaduomenys(pavadinimas / aprašymas)
- Instrukcijos(tikrieji žingsniai)
- Pasirinktinai:scenarijaiir kitas susietas turtas
Tai skamba nekenksmingai, nes atrodo kaip dokumentacija. Tačiau dokumentacija yra būtent tai, ką žmonės greitai supranta, ypač kai ji atrodo kaip būtiniausių dalykų sąrašas arba diegimo vadovas.
Įgūdžiai taip pat pasižymi „laimėtojas gauna viską“ dinamika: žmonės renkasi tai, kas populiaru, nauja ir atrodo, kad sutaupys laiko. Dėl to viešoji įgūdžių prekyvietė yra vertingas taikinys: sumažinkite kelis populiariausius atsisiuntimus ir galėsite pasiekti koncentruotą grupę patyrusių vartotojų – kūrėjų, operatorių ir visus, kurie savo kompiuteryje turi vertingų įgaliojimų.
Pagrindinis triukas: „Markdown“ nebėra „turinys“ – tai diegimo programa
Tradicinėms programinės įrangos tiekimo grandinės atakoms dažnai reikia techninių investicijų: priklausomybių painiavos, rašybos klaidų, kenkėjiškų scenarijų po diegimo, paketo pavadinimo kontrolės išlaikymo ir skaitytuvų vengimo.
Įgūdžių rinka nuleidžia kartelę.
Kenkėjiškas įgūdis gali padaryti ką nors tokio paprasto:
- Pateikite įtikimą įrankį („Twitter“ įgūdžiai“, „kriptovaliutų seklys“, „automatizavimo pagalbininkas“).
- Pridėkite skyrių „Būtinos sąlygos“ su „būtina priklausomybe“.
- Pateikite patogią nuorodą ir vienos eilutės komandą.
- Pasikliaukite žmogumi (arba agentu), kad jis tai įvykdytų.
Tai nėra nauja socialinės inžinerijos idėja – ji naudojama jau daugelį metų – bet agentų darbo eigossustiprintitai:
- Agentai užtikrintai apibendrina dokumentus („Tiesiog paleiskite tai, kad įdiegtumėte priklausomybę“).
- Agentai sumažina trintį sugeneruodami jums komandą.
- Kai kuriuose nustatymuose agentai gali patys vykdyti apvalkalo komandas.
Tuo metu „dokumentacija“ tampa nuotolinio vykdymo keliu.
Kas, pasak ataskaitų, nutiko „OpenClaw“ ekosistemoje
Keliuose straipsniuose aprašoma kampanija, kurios metu užpuolikai į „ClawHub“ prekyvietę įkėlė daugybę kenkėjiškų įgūdžių ir, naudodami „sąrankos veiksmus“, platino informaciją vagiančią kenkėjišką programinę įrangą.
Pasak „1Password“ atstovo Jasono Mellerio, dažniausiai atsisiunčiamas įgūdis apėmė instrukcijas, kurios nukreipdavo vartotojus į etapinę pristatymo grandinę: nuorodą į „priklausomybę“, užmaskuotą komandą ir tada naudingąją apkrovą, kuri galiausiai įdiegdavo informacijos vagystę, skirtą vertingoms paslaptims išgauti iš kompiuterio.
„CyberInsider“, remdamasi „Koi Security“ tyrimais, aprašo panašų modelį dideliu mastu: Trojos arklio užkrėtimo įgūdžiai su „Būtinosiomis sąlygomis“, nurodančiais vartotojams paleisti užmaskuotus scenarijus arba atsisiųsti slaptažodžiu apsaugotus archyvus, o tai baigiasi tokiais kenkėjiškais failais kaip „Atomic macOS Stealer“ (AMOS) – kenkėjiškų programų šeima, siejama su kredencialų vagyste ir piniginės taikiniais.
Nesvarbu, ar tikslūs skaičiai ataskaitose skiriasi,formayra nuoseklus:
- Įgūdžiai, naudojami kaip paskirstymas
- „Būtinos“ instrukcijos, naudojamos kaip įtikinėjimas
- Informacijos vagystės, naudojamos kaip galutinis tikslas
Tas galutinis tikslas yra svarbus: šiuolaikiniai informacijos vagys neieško vieno slaptažodžio – jie ieškosesijos žetonai,naršyklės profiliai,SSH raktai,debesies prisijungimo duomenysirkriptovaliutų piniginėsKitaip tariant: tai, kas vieną pažeistą nešiojamąjį kompiuterį paverčia platesniu kompromisu.
Kodėl agentai tai pablogina nei įprastą sukčiavimo atsisiuntimo nuorodą
Jei kada nors pagalvojote: „Aš to nepasiduočiau“, tikriausiai esate teisūs, kai esate ramūs ir skeptiškai nusiteikę.
Tačiau agentų darbo eigos keičia kontekstą:
- Greitis tampa numatytuoju.Jūs naudojatės agentu, nes norite greitai dirbti.
- Kognityvinė apkrova perduodama išoriniams rangovams.Agentas netvarkingą instrukcijų puslapį paverčia patikimu kontroliniu sąrašu.
- Autoritetas yra pasiskolintas.Jei agentas sako „Tai standartinė priklausomybė“, atrodo, kad ji patikrinta.
Kitaip tariant: agento nereikia „apgauti“ technine prasme. Jis tiesiog turi būti šalia, kai esate raginami atlikti rizikingą veiksmą. To pakanka, kad būtų galima pakeisti jo elgesį.
Ir jei jūsdarytileisti agentui tiesiogiai vykdyti komandas, kenkėjiškas įgūdis gali tapti „laisvų rankų įsilaužimu“.
„O kaip dėl MCP? Argi tai neturėtų padaryti įrankius saugesnius?“
Modelio konteksto protokolas (MCP) yra realus žingsnis į priekį struktūrizuojant įrankių prieigą. Jis standartizuoja, kaip pagrindiniai kompiuteriai atskleidžia įrankius, išteklius ir raginimus, ir pabrėžia naudotojų sutikimą bei kontrolę.
Tačiau MCP stebuklingai nepadaro „įgūdžių“ saugių.
Kodėl?
- Įgūdžiai gali nurodyti vartotojams vykdyti komandas už MCP ribų.
- Įgūdžiai gali būti susieti su scenarijais ar atsisiuntimais, kurie niekada neliečia MCP.
- Ne kiekvienas įgūdis naudoja MCP.
MCP gali padėti, kai serveris įdiegia griežtą leidimų reikalavimą, aiškius sutikimo raginimus, registravimą ir saugius numatytuosius nustatymus. Tačiau „markdown“ pagrindu sukurtas platinimo mechanizmas vis tiek gali jį apeiti naudodamas paprastą socialinę inžineriją.
Tai yra tiekimo grandinės saugumo agento versija (ir mes jau buvome čia anksčiau)
Programinės įrangos pasaulis tai išmoko sunkiu būdu:
- Piktnaudžiaujama populiariais registrais.
- Typosquatting veikia.
- „Įdiegti šį pagalbininką“ yra dažnas įėjimo taškas.
- Vertingiausios aukos yra tos, kurios stato daiktus.
Įgūdžių rinkos sujungia šias pamokas su dviem naujais akseleratoriais:
- „Paketas“ gali būti instrukcijos, o ne kodą, o instrukcijas sunkiau patikimai nuskaityti.
- Vykdymo aplinka yra turtinga kredencialųpagal paskirtį: naršyklės prisijungia prie visko, terminalai su SSH raktais, debesies komandų eilutės sąsajos, slaptažodžių tvarkyklės ir vietiniai failai.
Tam tikra prasme įgūdžių prekyvietė yra programėlių parduotuvė, kurioje populiariausios programėlės gali nurodyti „Nukopijuokite ir įklijuokite tai į terminalą, kad įjungtumėte šią funkciją“. Tai nėra problema, kurią galima išspręsti vienu žymimuoju langeliu.
Praktinė apsauga (paprastiems vartotojams)
Jei eksperimentuojate su agentu, turinčiu vietinę prieigą, turite su juo elgtis kaip su nauju operacinės sistemos vartotoju, turinčiu supergalių.
Štai pragmatiškas pagrindas:
- Naudokite dedikuotą kompiuterį arba virtualią mašinąagentų eksperimentams. Nėra išsaugotų įmonės prisijungimų. Nėra gamybinių SSH raktų. Nėra debesies administratoriaus sesijų.
- Vienos eilutės diegimo programose numatytoji reikšmė yra „ne“.Ypač viskas, kas nukreipiama į „sh“, naudoja „base64“ arba prašo pašalinti OS apsaugas.
- Nepasitikėkite „daugiausiai atsisiųstais“.Populiarumas yra augimo triukas, o ne saugumo modelis.
- Jei jau kažką paleidote, pirmiausia keiskite tai, kas svarbiausia.Naršyklės sesijos, SSH raktai, API žetonai, debesies raktai.
- Pirmenybė teikiama įgūdžiams, kuriuos galima kontroliuoti ir peržiūrėti.(Git saugyklos su istorija, žinomais prižiūrėtojais, aiškia kilme).
Ką turėtų daryti prekyvietės (jei nori išlikti)
Jei naudojate viešą įgūdžių registrą, naudojate atakos paviršių.
Keletas praktinių žingsnių, kurie reikšmingai padidina užpuoliko kainą:
- Leidėjo reputacija ir kilmė(patvirtintos tapatybės, istorija, parašai).
- Automatinis nuskaitymasįtartinų šablonų paieška (užkoduoti naudingi duomenys, užmaskuoti vienos eilutės tekstai, karantino pašalinimas, slaptažodžiu apsaugoti archyvai, „pagrindinės programos diegimo priklausomybė“ su išorinėmis nuorodomis).
- Įspėjimas apie vartotojo sąsajos trintįišorinėms nuorodoms ir apvalkalo komandoms.
- Greitas pašalinimas ir matomas reagavimas į incidentus(elkitės su ja kaip su programėlių parduotuve, o ne kaip su šiukšliadėže).
Nei vienas iš jų nėra tobulas, bet jie suteikia laiko – o gynėjams to reikia.
Ką agentų kūrėjai turėtų daryti ateityje
Jei kuriate patį agento vykdymo aplinką, tarkime, kad įgūdžiai bus apginkluoti.
Tai reiškia:
- Numatytasis neigimo komandos vykdymas(reikalingas sutikimas kiekvienai komandai, o ne vienkartiniai perjungimai).
- Stiprus smėlio dėžės efektasfailų sistemos ir naršyklės prieigai.
- Apribotos apimties, laiko apribojimus turinčios teisėssu lengvu atšaukimu.
- Audituojami žurnalaiką agentas perskaitė ir ką įvykdė.
Galutinė būsena yra ta pati kryptis, kuria debesis pasirinko prieš daugelį metų: tapatybė, politika, mažiausios privilegijos ir audito sekos – bet sumažinta iki darbo stoties lygio.
Esmė
„OpenClaw“ įgūdžių istorija nėra tiesiog „kai kurie žmonės įkėlė kenkėjiškas programas“. Tai kito tiekimo grandinės mūšio lauko apžvalga:įgūdžiai kaip paskirstymas, „markdown“ kaip vykdymo kelias ir agentai kaip akseleratorius.
Jei agentai ketina gyventi mūsų asmeniniuose ir darbo kompiuteriuose, ekosistemai reikia pasitikėjimo sluoksnio, kuris įgūdžių prekyvietes traktuotų kaip programėlių parduotuves, dokumentaciją – kaip kodą, o „naudingą automatizavimą“ – kaip privilegijuotą operaciją, o ne kaip atsitiktinį patogumą.
Šaltiniai
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18