Kai „įgūdžiai“ tampa tiekimo grandine: „OpenClaw“ prekyvietės kenkėjiškų programų žadinimo skambutis

Per pastaruosius porą metų „DI agentas“ nustojo būti rinkodaros fraze ir tapo tikru darbo eigos elementu: asistentu, kuris gali skaityti jūsų failus, atidaryti naršyklę, vykdyti komandas ir sujungti veiksmus skirtingose ​​paslaugose. Tai yra pažadas.

Problema ta, kadenergija turi paskirstymo kanaląIr tas kanalas vis dažniau vadinamasįgūdis: mažas, bendrinamas instrukcijų paketas, kuris moko agentą (ir dažnai vartotoją), kaip atlikti užduotį. Tai programėlių parduotuvės akimirka agentams – išskyrus tai, kad „programėlės“ dažnai yraŽymėjimo instrukcijos.

Šios savaitės pranešimai apie kenkėjiškus „OpenClaw“ įgūdžius yra ankstyvas ir labai garsus signalas, kad tuoj pakartosime atvirojo kodo tiekimo grandinės istoriją – tačiau su netikėtumu: užpuolikai gali ne tik užkrėsti kompiliuotą priklausomybę, bet ir...dokumentacijair naudokite agento naudingumą kaip lubrikantą.

Žemiau pateikiamas praktinis paaiškinimas, kas nutiko, kodėl tai veikia taip gerai ir ką galite padaryti.

Kas yra „OpenClaw“ įgūdžiai (ir kodėl jie svarbūs)

„OpenClaw“ išpopuliarino paprastą išplėtimo modelį: įterpkite „įgūdį“, paaiškinantį, kaip atlikti siaurą užduotį – paskelbti socialinėje žiniasklaidoje, išvalyti aplankus, apibendrinti ataskaitą, automatizuoti darbo eigą – ir agentas įgyja naują funkciją.

Platesnėje „agento įgūdžių“ ekosistemoje įgūdis paprastai yra aplankas, sukurtas aplinkSKILL.mdfailas. Tame faile yra:

  • Metaduomenys(pavadinimas / aprašymas)
  • Instrukcijos(tikrieji žingsniai)
  • Pasirinktinai:scenarijaiir kitas susietas turtas

Tai skamba nekenksmingai, nes atrodo kaip dokumentacija. Tačiau dokumentacija yra būtent tai, ką žmonės greitai supranta, ypač kai ji atrodo kaip būtiniausių dalykų sąrašas arba diegimo vadovas.

Įgūdžiai taip pat pasižymi „laimėtojas gauna viską“ dinamika: žmonės renkasi tai, kas populiaru, nauja ir atrodo, kad sutaupys laiko. Dėl to viešoji įgūdžių prekyvietė yra vertingas taikinys: sumažinkite kelis populiariausius atsisiuntimus ir galėsite pasiekti koncentruotą grupę patyrusių vartotojų – kūrėjų, operatorių ir visus, kurie savo kompiuteryje turi vertingų įgaliojimų.

Pagrindinis triukas: „Markdown“ nebėra „turinys“ – tai diegimo programa

Tradicinėms programinės įrangos tiekimo grandinės atakoms dažnai reikia techninių investicijų: priklausomybių painiavos, rašybos klaidų, kenkėjiškų scenarijų po diegimo, paketo pavadinimo kontrolės išlaikymo ir skaitytuvų vengimo.

Įgūdžių rinka nuleidžia kartelę.

Kenkėjiškas įgūdis gali padaryti ką nors tokio paprasto:

  1. Pateikite įtikimą įrankį („Twitter“ įgūdžiai“, „kriptovaliutų seklys“, „automatizavimo pagalbininkas“).
  2. Pridėkite skyrių „Būtinos sąlygos“ su „būtina priklausomybe“.
  3. Pateikite patogią nuorodą ir vienos eilutės komandą.
  4. Pasikliaukite žmogumi (arba agentu), kad jis tai įvykdytų.

Tai nėra nauja socialinės inžinerijos idėja – ji naudojama jau daugelį metų – bet agentų darbo eigossustiprintitai:

  • Agentai užtikrintai apibendrina dokumentus („Tiesiog paleiskite tai, kad įdiegtumėte priklausomybę“).
  • Agentai sumažina trintį sugeneruodami jums komandą.
  • Kai kuriuose nustatymuose agentai gali patys vykdyti apvalkalo komandas.

Tuo metu „dokumentacija“ tampa nuotolinio vykdymo keliu.

Kas, pasak ataskaitų, nutiko „OpenClaw“ ekosistemoje

Keliuose straipsniuose aprašoma kampanija, kurios metu užpuolikai į „ClawHub“ prekyvietę įkėlė daugybę kenkėjiškų įgūdžių ir, naudodami „sąrankos veiksmus“, platino informaciją vagiančią kenkėjišką programinę įrangą.

Pasak „1Password“ atstovo Jasono Mellerio, dažniausiai atsisiunčiamas įgūdis apėmė instrukcijas, kurios nukreipdavo vartotojus į etapinę pristatymo grandinę: nuorodą į „priklausomybę“, užmaskuotą komandą ir tada naudingąją apkrovą, kuri galiausiai įdiegdavo informacijos vagystę, skirtą vertingoms paslaptims išgauti iš kompiuterio.

„CyberInsider“, remdamasi „Koi Security“ tyrimais, aprašo panašų modelį dideliu mastu: Trojos arklio užkrėtimo įgūdžiai su „Būtinosiomis sąlygomis“, nurodančiais vartotojams paleisti užmaskuotus scenarijus arba atsisiųsti slaptažodžiu apsaugotus archyvus, o tai baigiasi tokiais kenkėjiškais failais kaip „Atomic macOS Stealer“ (AMOS) – kenkėjiškų programų šeima, siejama su kredencialų vagyste ir piniginės taikiniais.

Nesvarbu, ar tikslūs skaičiai ataskaitose skiriasi,formayra nuoseklus:

  • Įgūdžiai, naudojami kaip paskirstymas
  • „Būtinos“ instrukcijos, naudojamos kaip įtikinėjimas
  • Informacijos vagystės, naudojamos kaip galutinis tikslas

Tas galutinis tikslas yra svarbus: šiuolaikiniai informacijos vagys neieško vieno slaptažodžio – jie ieškosesijos žetonai,naršyklės profiliai,SSH raktai,debesies prisijungimo duomenysirkriptovaliutų piniginėsKitaip tariant: tai, kas vieną pažeistą nešiojamąjį kompiuterį paverčia platesniu kompromisu.

Jei kada nors pagalvojote: „Aš to nepasiduočiau“, tikriausiai esate teisūs, kai esate ramūs ir skeptiškai nusiteikę.

Tačiau agentų darbo eigos keičia kontekstą:

  • Greitis tampa numatytuoju.Jūs naudojatės agentu, nes norite greitai dirbti.
  • Kognityvinė apkrova perduodama išoriniams rangovams.Agentas netvarkingą instrukcijų puslapį paverčia patikimu kontroliniu sąrašu.
  • Autoritetas yra pasiskolintas.Jei agentas sako „Tai standartinė priklausomybė“, atrodo, kad ji patikrinta.

Kitaip tariant: agento nereikia „apgauti“ technine prasme. Jis tiesiog turi būti šalia, kai esate raginami atlikti rizikingą veiksmą. To pakanka, kad būtų galima pakeisti jo elgesį.

Ir jei jūsdarytileisti agentui tiesiogiai vykdyti komandas, kenkėjiškas įgūdis gali tapti „laisvų rankų įsilaužimu“.

„O kaip dėl MCP? Argi tai neturėtų padaryti įrankius saugesnius?“

Modelio konteksto protokolas (MCP) yra realus žingsnis į priekį struktūrizuojant įrankių prieigą. Jis standartizuoja, kaip pagrindiniai kompiuteriai atskleidžia įrankius, išteklius ir raginimus, ir pabrėžia naudotojų sutikimą bei kontrolę.

Tačiau MCP stebuklingai nepadaro „įgūdžių“ saugių.

Kodėl?

  • Įgūdžiai gali nurodyti vartotojams vykdyti komandas už MCP ribų.
  • Įgūdžiai gali būti susieti su scenarijais ar atsisiuntimais, kurie niekada neliečia MCP.
  • Ne kiekvienas įgūdis naudoja MCP.

MCP gali padėti, kai serveris įdiegia griežtą leidimų reikalavimą, aiškius sutikimo raginimus, registravimą ir saugius numatytuosius nustatymus. Tačiau „markdown“ pagrindu sukurtas platinimo mechanizmas vis tiek gali jį apeiti naudodamas paprastą socialinę inžineriją.

Tai yra tiekimo grandinės saugumo agento versija (ir mes jau buvome čia anksčiau)

Programinės įrangos pasaulis tai išmoko sunkiu būdu:

  • Piktnaudžiaujama populiariais registrais.
  • Typosquatting veikia.
  • „Įdiegti šį pagalbininką“ yra dažnas įėjimo taškas.
  • Vertingiausios aukos yra tos, kurios stato daiktus.

Įgūdžių rinkos sujungia šias pamokas su dviem naujais akseleratoriais:

  1. „Paketas“ gali būti instrukcijos, o ne kodą, o instrukcijas sunkiau patikimai nuskaityti.
  2. Vykdymo aplinka yra turtinga kredencialųpagal paskirtį: naršyklės prisijungia prie visko, terminalai su SSH raktais, debesies komandų eilutės sąsajos, slaptažodžių tvarkyklės ir vietiniai failai.

Tam tikra prasme įgūdžių prekyvietė yra programėlių parduotuvė, kurioje populiariausios programėlės gali nurodyti „Nukopijuokite ir įklijuokite tai į terminalą, kad įjungtumėte šią funkciją“. Tai nėra problema, kurią galima išspręsti vienu žymimuoju langeliu.

Praktinė apsauga (paprastiems vartotojams)

Jei eksperimentuojate su agentu, turinčiu vietinę prieigą, turite su juo elgtis kaip su nauju operacinės sistemos vartotoju, turinčiu supergalių.

Štai pragmatiškas pagrindas:

  1. Naudokite dedikuotą kompiuterį arba virtualią mašinąagentų eksperimentams. Nėra išsaugotų įmonės prisijungimų. Nėra gamybinių SSH raktų. Nėra debesies administratoriaus sesijų.
  2. Vienos eilutės diegimo programose numatytoji reikšmė yra „ne“.Ypač viskas, kas nukreipiama į „sh“, naudoja „base64“ arba prašo pašalinti OS apsaugas.
  3. Nepasitikėkite „daugiausiai atsisiųstais“.Populiarumas yra augimo triukas, o ne saugumo modelis.
  4. Jei jau kažką paleidote, pirmiausia keiskite tai, kas svarbiausia.Naršyklės sesijos, SSH raktai, API žetonai, debesies raktai.
  5. Pirmenybė teikiama įgūdžiams, kuriuos galima kontroliuoti ir peržiūrėti.(Git saugyklos su istorija, žinomais prižiūrėtojais, aiškia kilme).

Ką turėtų daryti prekyvietės (jei nori išlikti)

Jei naudojate viešą įgūdžių registrą, naudojate atakos paviršių.

Keletas praktinių žingsnių, kurie reikšmingai padidina užpuoliko kainą:

  • Leidėjo reputacija ir kilmė(patvirtintos tapatybės, istorija, parašai).
  • Automatinis nuskaitymasįtartinų šablonų paieška (užkoduoti naudingi duomenys, užmaskuoti vienos eilutės tekstai, karantino pašalinimas, slaptažodžiu apsaugoti archyvai, „pagrindinės programos diegimo priklausomybė“ su išorinėmis nuorodomis).
  • Įspėjimas apie vartotojo sąsajos trintįišorinėms nuorodoms ir apvalkalo komandoms.
  • Greitas pašalinimas ir matomas reagavimas į incidentus(elkitės su ja kaip su programėlių parduotuve, o ne kaip su šiukšliadėže).

Nei vienas iš jų nėra tobulas, bet jie suteikia laiko – o gynėjams to reikia.

Ką agentų kūrėjai turėtų daryti ateityje

Jei kuriate patį agento vykdymo aplinką, tarkime, kad įgūdžiai bus apginkluoti.

Tai reiškia:

  • Numatytasis neigimo komandos vykdymas(reikalingas sutikimas kiekvienai komandai, o ne vienkartiniai perjungimai).
  • Stiprus smėlio dėžės efektasfailų sistemos ir naršyklės prieigai.
  • Apribotos apimties, laiko apribojimus turinčios teisėssu lengvu atšaukimu.
  • Audituojami žurnalaiką agentas perskaitė ir ką įvykdė.

Galutinė būsena yra ta pati kryptis, kuria debesis pasirinko prieš daugelį metų: tapatybė, politika, mažiausios privilegijos ir audito sekos – bet sumažinta iki darbo stoties lygio.

Esmė

„OpenClaw“ įgūdžių istorija nėra tiesiog „kai kurie žmonės įkėlė kenkėjiškas programas“. Tai kito tiekimo grandinės mūšio lauko apžvalga:įgūdžiai kaip paskirstymas, „markdown“ kaip vykdymo kelias ir agentai kaip akseleratorius.

Jei agentai ketina gyventi mūsų asmeniniuose ir darbo kompiuteriuose, ekosistemai reikia pasitikėjimo sluoksnio, kuris įgūdžių prekyvietes traktuotų kaip programėlių parduotuves, dokumentaciją – kaip kodą, o „naudingą automatizavimą“ – kaip privilegijuotą operaciją, o ne kaip atsitiktinį patogumą.


Šaltiniai

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
i Lietuvių kalba