Kad “prasmes” kļūst par piegādes ķēdi: OpenClaw tirgus ļaunprogrammatūras modinātāja zvans

Pēdējo pāris gadu laikā “mākslīgā intelekta aģents” vairs nav tikai mārketinga frāze, bet gan īsts darbplūsmas elements: asistents, kas var lasīt jūsu failus, atvērt pārlūkprogrammu, izpildīt komandas un apvienot darbības dažādos pakalpojumos. Tas ir solījums.

Problēma ir tā, kaenerģijai ir izplatīšanas kanālsUn šo kanālu arvien biežāk sauc parprasme: neliela, koplietojama pamācību pakete, kas iemāca aģentam (un bieži vien arī lietotājam), kā veikt uzdevumu. Aģentiem tas ir lietotņu veikala brīdis — izņemot to, ka “lietotnes” bieži vien iratzīmes samazināšanas instrukcijas.

Šīs nedēļas ziņojumi par ļaunprātīgām OpenClaw prasmēm ir agrīns un ļoti skaļš signāls, ka mēs gatavojamies atkārtot atvērtā pirmkoda piegādes ķēdes vēsturi, taču ar nelielu pavērsienu: uzbrucēji var nevis saindēt kompilētu atkarību, bet gan...dokumentācijaun izmantojiet aģenta palīdzību kā smērvielu.

Zemāk ir sniegts praktisks skaidrojums par notikušo, kāpēc tas darbojas tik labi un ko jūs varat darīt lietas labā.

Kas ir OpenClaw prasmes (un kāpēc tās ir svarīgas)

OpenClaw popularizēja vienkāršu paplašinājuma modeli: pievienojiet “prasmi”, kas izskaidro, kā veikt šauru uzdevumu — publicēt sociālajos tīklos, iztīrīt mapes, apkopot pārskatu, automatizēt darbplūsmu —, un aģents iegūst jaunu iespēju.

Plašākā “aģenta prasmju” ekosistēmā prasme parasti ir mape, kas veidota apSKILL.mdfails. Šajā failā ir:

  • Metadati(nosaukums / apraksts)
  • Norādījumi(faktiskie soļi)
  • Pēc izvēles:skriptiun citi apvienotie aktīvi

Tas izklausās nekaitīgi, jo izskatās pēc dokumentācijas. Taču dokumentācija ir tieši tā, ko cilvēki ātri ievēro, it īpaši, ja tā izskatās pēc priekšnosacījumu saraksta vai instalēšanas rokasgrāmatas.

Prasmēm piemīt arī dinamika “uzvarētājs ņem visu”: cilvēki pievēršas tam, kas ir populārs, jauns un šķietami ietaupīs laiku. Tas padara publisku prasmju tirgu par augstvērtīgu mērķi: aprobežojoties ar dažām populārākajām lejupielādēm, jūs varat sasniegt koncentrētu spēcīgu lietotāju loku — izstrādātājus, operatorus un ikvienu, kam ir vērtīgi akreditācijas dati savā datorā.

Galvenais triks: Markdown vairs nav “saturs” — tā ir instalētāja programma

Tradicionālie programmatūras piegādes ķēdes uzbrukumi bieži vien prasa tehniskus ieguldījumus: atkarību apjukumu, drukas kļūdas, ļaunprātīgus pēcinstalēšanas skriptus, kontroles saglabāšanu pār pakotnes nosaukumu un skeneru apiešanu.

Prasmju tirgus pazemina latiņu.

Ļaunprātīga prasme var paveikt kaut ko tik vienkāršu kā šo:

  1. Sniedziet ticamu rīku (“Twitter prasme”, “kriptovalūtu izsekotājs”, “automatizācijas palīgs”).
  2. Pievienojiet sadaļu “Priekšnosacījumi” ar “nepieciešamo atkarību”.
  3. Nodrošiniet ērtu saiti un vienrindas komandu.
  4. Paļaujieties uz cilvēku (vai aģentu), lai to izpildītu.

Tā nav jauna sociālās inženierijas ideja — tā tiek izmantota gadiem ilgi —, bet gan aģentu darbplūsmaspastiprināttas:

  • Aģenti pārliecinoši apkopo dokumentus (“Vienkārši palaidiet šo, lai instalētu atkarību”).
  • Aģenti samazina berzi, ģenerējot komandu jūsu vietā.
  • Dažos iestatījumos aģenti var paši palaist čaulas komandas.

Tajā brīdī “dokumentācija” kļūst par attālinātas izpildes ceļu.

Kas ziņojumos teikts par notikušo OpenClaw ekosistēmā

Vairākos aprakstos ir aprakstīta kampaņa, kurā uzbrucēji augšupielādēja lielu skaitu ļaunprātīgu prasmju ClawHub tirgū un izmantoja “iestatīšanas darbības”, lai piegādātu informāciju zogošu ļaunprogrammatūru.

Saskaņā ar 1Password pārstāvja Džeisona Mellera teikto, visbiežāk lejupielādētā prasme ietvēra instrukcijas, kas novirzīja lietotājus uz pakāpenisku piegādes ķēdi: saiti uz “atkarību”, apmulsinātu komandu un pēc tam vērtumu, kas galu galā instalēja informācijas zagli, kas paredzēts vērtīgu noslēpumu iezagšanai ierīcē.

CyberInsider, atsaucoties uz Koi Security pētījumu, apraksta līdzīgu modeli plašā mērogā: Trojas zirgu uzbrukumu prasmes ar “priekšnosacījumiem”, kas liek lietotājiem palaist apslēptus čaulas skriptus vai lejupielādēt ar paroli aizsargātus arhīvus, kulminējot ar tādām lietderīgām apstrādēm kā Atomic macOS Stealer (AMOS) — ļaunprogrammatūru saime, kas saistīta ar akreditācijas datu zādzībām un maku uzbrukumiem.

Neatkarīgi no tā, vai precīzie skaitļi ziņojumos atšķiras,formair konsekvents:

  • Prasmes, ko izmanto kā izplatīšanu
  • “Priekšnosacījumu” instrukcijas, ko izmanto kā pārliecināšanu
  • Informācijas zagļi tiek izmantoti kā galvenais mērķis

Šim gala mērķim ir nozīme: mūsdienu informācijas zagļi nemeklē vienu paroli — viņi tiecas pēcsesijas žetoni,pārlūkprogrammas profili,SSH atslēgas,mākoņa akreditācijas datiunkriptovalūtu makiCitiem vārdiem sakot: lietas, kas pārvērš vienu kompromitētu klēpjdatoru par plašāku kompromisu.

Ja kādreiz esi domājis: “Es tam nepiekristu”, tev droši vien ir taisnība, ja esi mierīgs un skeptisks.

Taču aģentu darbplūsmas maina kontekstu:

  • Ātrums kļūst par noklusējuma vērtību.Jūs izmantojat aģenta pakalpojumus, jo vēlaties rīkoties ātri.
  • Kognitīvā slodze tiek nodota ārpakalpojumā.Aģents pārvērš nekārtīgu instrukciju lapu par pārliecinošu kontrolsarakstu.
  • Autoritāte ir aizņemta.Ja aģents saka: “Šī ir standarta atkarība”, tas šķiet pārbaudīts.

Citiem vārdiem sakot: aģentam nav jābūt “apmānītam” tehniskā nozīmē. Tam vienkārši jābūt klāt, kad jūs mudina veikt riskantu darbību. Ar to pietiek, lai ietekmētu uzvedību.

Un, ja jūsdarītļaujot aģentam tieši izpildīt komandas, ļaunprātīga prasme var kļūt par "brīvroku kompromitēšanu".

"Bet kā ar MCP? Vai tam nevajadzētu padarīt instrumentus drošākus?"

Model Context Protocol (MCP) ir reāls solis uz priekšu rīku piekļuves strukturēšanā. Tas standartizē, kā resursdatori atklāj rīkus, resursus un uzvednes, un uzsver lietotāja piekrišanu un kontroli.

Tomēr MCP maģiski nepadara “prasmes” drošas.

Kāpēc?

  • Prasmes var norādīt lietotājiem izpildīt komandas ārpus MCP robežām.
  • Prasmes var būt saistītas ar skriptiem vai lejupielādēm, kas nekad neskar MCP.
  • Ne katra prasme vispār izmanto MCP.

MCP var palīdzēt, ja resursdators ievieš stingru atļauju pārvaldību, skaidras piekrišanas uzvednes, reģistrēšanu un drošus noklusējuma iestatījumus. Taču uz Markdown balstīts izplatīšanas mehānisms joprojām var to apiet, izmantojot vienkāršu sociālo inženieriju.

Šī ir piegādes ķēdes drošības aģenta versija (un mēs jau esam šeit bijuši iepriekš)

Programmatūras pasaule to uzzināja uz savas ādas:

  • Populāri reģistri tiek ļaunprātīgi izmantoti.
  • Typosquatting darbojas.
  • “Instalēt šo palīgu” ir bieži lietota ievades vieta.
  • Vērtīgākie upuri ir tie, kas būvē lietas.

Prasmju tirgi apvieno šīs mācības ar diviem jauniem paātrinātājiem:

  1. “Iepakojums” var būt instrukcijas, nevis kods — un instrukcijas ir grūtāk uzticami skenēt.
  2. Izpildlaika vide ir bagāta ar akreditācijas datiempēc dizaina: pārlūkprogrammas piesakās visur, termināļi ar SSH atslēgām, mākoņa komandrindas saskarnes, paroļu pārvaldnieki un lokālie faili.

Savā ziņā prasmju tirgus ir lietotņu veikals, kurā populārākajām lietotnēm ir atļauts teikt: “Kopēt un ielīmēt to terminālī, lai iespējotu šo funkciju.” Tā nav problēma, ko var atrisināt ar vienu izvēles rūtiņu.

Praktiski aizsardzības līdzekļi (parastiem lietotājiem)

Ja eksperimentējat ar aģentu, kuram ir lokāla piekļuve, pret to jāizturas kā pret jaunu operētājsistēmas lietotāju ar superspējām.

Lūk, pragmatiskais pamatprincips:

  1. Izmantojiet speciālu datoru vai virtuālo mašīnuaģentu eksperimentiem. Nav saglabātu korporatīvo pieteikšanās datu. Nav ražošanas SSH atslēgu. Nav mākoņa administratora sesiju.
  2. Pēc noklusējuma iestatījums ir “nē” vienrindas instalētājos.Īpaši viss, kas tiek pārsūtīts uz sh, izmanto base64 vai lūdz noņemt operētājsistēmas aizsardzības.
  3. Neuzticieties “visvairāk lejupielādētajiem”.Popularitāte ir izaugsmes triks, nevis drošības modelis.
  4. Ja jau kaut ko esat palaidis, vispirms mainiet svarīgāko.Pārlūkprogrammas sesijas, SSH atslēgas, API žetoni, mākoņa atslēgas.
  5. Priekšroka tiek dota prasmēm, kuras ir atkarīgas no avota un kuras var pārskatīt.(Git repozitoriji ar vēsturi, zināmiem uzturētājiem, skaidru izcelsmi).

Kas tirgiem būtu jādara (ja tie vēlas izdzīvot)

Ja jūs izmantojat publisku prasmju reģistru, jūs izmantojat uzbrukuma virsmu.

Daži praktiski soļi, kas būtiski palielina uzbrucēja izmaksas:

  • Izdevēja reputācija un izcelsme(pārbaudītas identitātes, vēsture, parakstīšanās).
  • Automatizēta skenēšanaaizdomīgu modeļu meklēšanai (kodētas vērtuma slodzes, apmulsinātas vienrindas piezīmes, karantīnas noņemšana, ar paroli aizsargāti arhīvi, “instalēšanas kodola atkarība” ar saitēm ārpus vietnes).
  • Brīdinājums par lietotāja saskarnes berziārējām saitēm un čaulas komandām.
  • Ātra noņemšana un redzama incidentu reaģēšana(izturieties pret to kā pret lietotņu veikalu, nevis kā pret atkritumu tvertni).

Neviens no tiem nav perfekts, taču tie dod laiku — un laiks ir tas, kas aizstāvjiem ir nepieciešams.

Ko aģentu izstrādātājiem vajadzētu ņemt vērā turpmāk

Ja veidojat pašu aģenta izpildlaiku, pieņemiet, ka prasmes tiks izmantotas kā ieroči.

Tas nozīmē:

  • Noklusējuma nolieguma komandas izpilde(nepieciešama piekrišana katrai komandai, nevis vienreizējas pārslēgšanas iespējas).
  • Spēcīga smilškastes tehnoloģijafailu sistēmas un pārlūkprogrammas piekļuvei.
  • Laika ziņā ierobežotas atļaujasar vieglu atcelšanu.
  • Auditējami žurnālipar to, ko aģents izlasīja un ko tas izpildīja.

Beigu stāvoklis ir tāds pats virziens, kādā mākonis gāja pirms gadiem: identitāte, politika, mazākās privilēģijas un auditācijas liecības — bet samazināts līdz darbstacijas līmenim.

Apakšējā līnija

OpenClaw prasmju stāsts nav tikai "daži cilvēki augšupielādēja ļaunprogrammatūru". Tas ir nākamā piegādes ķēdes kaujas lauka priekšskatījums:prasmes kā izplatīšana, nocenojums kā izpildes ceļš un aģenti kā paātrinātājs.

Ja aģenti strādās uz mūsu personīgajām un darba iekārtām, ekosistēmai ir nepieciešams uzticības slānis, kas prasmju tirgus platformas apstrādā kā lietotņu veikalus, dokumentāciju kā kodu un “noderīgu automatizāciju” apstrādā kā priviliģētu darbību, nevis ikdienišķu ērtību.


Avoti

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
a Latviešu valoda