De afgelopen jaren is 'AI-agent' niet langer een marketingterm, maar een concrete workflow geworden: een assistent die je bestanden kan lezen, je browser kan openen, commando's kan uitvoeren en acties tussen verschillende services kan coördineren. Dat is de belofte.
Het probleem is datStroom heeft een distributiekanaal.En dat kanaal wordt steeds vaker een genoemd.vaardigheid: een klein, deelbaar 'handleidingpakket' dat een agent (en vaak ook de gebruiker) leert hoe een taak uit te voeren. Het is het app store-moment voor agents — alleen zijn de 'apps' vaakMarkdown-instructies.
De berichten van deze week over kwaadaardige OpenClaw-vaardigheden zijn een vroeg en zeer luid signaal dat we op het punt staan de geschiedenis van de open-source toeleveringsketen te herhalen – maar met een twist: in plaats van een gecompileerde afhankelijkheid te vergiftigen, kunnen aanvallers een andere afhankelijkheid vergiftigen.documentatieen gebruik de behulpzaamheid van het middel als smeermiddel.
Hieronder volgt een praktische uitleg van wat er is gebeurd, waarom het zo goed werkt en wat u eraan kunt doen.
Wat OpenClaw-vaardigheden zijn (en waarom ze belangrijk zijn)
OpenClaw populariseerde een eenvoudig uitbreidingsmodel: voeg een 'vaardigheid' toe die uitlegt hoe een specifieke taak moet worden uitgevoerd — een bericht plaatsen op sociale media, mappen opschonen, een rapport samenvatten, een workflow automatiseren — en de agent krijgt een nieuwe mogelijkheid.
Binnen het bredere ecosysteem van 'agentvaardigheden' is een vaardigheid doorgaans een map die is opgebouwd rondom eenSKILL.mdbestand. Dat bestand bevat:
- Metadata(naam / omschrijving)
- Instructies(de eigenlijke stappen)
- Optioneel:scriptsen andere gebundelde activa
Dat klinkt onschuldig omdat het op documentatie lijkt. Maar documentatie is nu juist wat mensen snel volgen, vooral als het eruitziet als een lijst met vereisten of een installatiehandleiding.
Ook bij vaardigheden is er sprake van een "de winnaar krijgt alles"-dynamiek: mensen worden aangetrokken tot wat populair is, wat nieuw is en wat tijd lijkt te besparen. Dat maakt een openbare marktplaats voor vaardigheden een zeer waardevol doelwit: als je een paar van de meest gedownloade items opoffert, kun je een geconcentreerde groep ervaren gebruikers bereiken – ontwikkelaars, beheerders en iedereen die waardevolle certificaten op zijn of haar computer heeft staan.
De kern van de truc: Markdown is niet langer "content", maar een installatieprogramma.
Traditionele aanvallen op de softwareleveringsketen vereisen vaak technische investeringen: verwarring over afhankelijkheden, typosquatting, kwaadaardige scripts na installatie, controle over een pakketnaam behouden en scanners omzeilen.
Een vaardighedenmarktplaats verlaagt de drempel.
Een kwaadaardige vaardigheid kan zoiets simpels doen als dit:
- Geef een plausibel hulpmiddel weer ("Twitter-skill", "cryptotracker", "automatiseringshulpmiddel").
- Voeg een sectie 'Vereisten' toe met een 'vereiste afhankelijkheid'.
- Geef een handige link en een korte opdrachtregel.
- Vertrouw erop dat de mens (of de agent) het uitvoert.
Dat is geen nieuw idee op het gebied van social engineering — het wordt al jaren gebruikt — maar agentworkflowsversterkenHet:
- Agenten vatten de documentatie vol zelfvertrouwen samen ("Voer dit gewoon uit om de afhankelijkheid te installeren").
- Agenten verminderen de frictie door de opdracht voor u te genereren.
- In sommige configuraties kunnen agents zelf shell-opdrachten uitvoeren.
Op dat moment wordt "documentatie" een pad voor uitvoering op afstand.
Wat er volgens de rapporten is gebeurd in het OpenClaw-ecosysteem.
Diverse artikelen beschrijven een campagne waarbij aanvallers grote aantallen kwaadaardige skills uploadden naar de ClawHub-marktplaats en "installatiestappen" gebruikten om malware te verspreiden die gegevens steelt.
Volgens Jason Meller van 1Password bevatte een van de meest gedownloade skills instructies die gebruikers door een gefaseerde leveringsketen leidden: een link naar een 'afhankelijkheid', een versleuteld commando en vervolgens een payload die uiteindelijk een infostealer installeerde die ontworpen was om de computer te plunderen voor waardevolle geheimen.
CyberInsider beschrijft, op basis van onderzoek van Koi Security, een vergelijkbaar patroon op grote schaal: getrojaniseerde skills met "Voorwaarden" die gebruikers instrueren om versleutelde shellscripts uit te voeren of met een wachtwoord beveiligde archieven te downloaden, met als hoogtepunt payloads zoals Atomic macOS Stealer (AMOS) – een malwarefamilie die geassocieerd wordt met het stelen van inloggegevens en het aanvallen van wallets.
Of de exacte aantallen verschillen tussen de rapporten, devormis consistent:
- Vaardigheden die als distributie worden ingezet
- "Voorwaardelijke" instructies gebruikt als overtuigingsmiddel
- Informatiedieven gebruikt als einddoel
Dat einddoel is belangrijk: moderne datadieven zijn niet uit op één wachtwoord, maar op een heel wachtwoord.sessietokens,browserprofielen,SSH-sleutels,cloud-referenties, EncryptowalletsMet andere woorden: de elementen die ervoor zorgen dat één gehackte laptop een grotere inbreuk vormt.
Waarom maken agenten dit erger dan een normale frauduleuze downloadlink?
Als je ooit hebt gedacht: "Daar zou ik niet intrappen," dan heb je waarschijnlijk gelijk als je kalm en sceptisch blijft.
Maar de workflows van agenten veranderen de context:
- Snelheid wordt de standaard.Je maakt gebruik van een agent omdat je snel wilt handelen.
- De cognitieve belasting wordt uitbesteed.De agent transformeert een rommelige instructiepagina in een overzichtelijke checklist.
- De autoriteit is geleend.Als de agent zegt: "Dit is de standaardafhankelijkheid", dan voelt het alsof het gecontroleerd is.
Met andere woorden: de agent hoeft niet in technische zin "misleid" te worden. Hij hoeft alleen maar aanwezig te zijn op het moment dat je wordt aangespoord iets risicovols te doen. Dat is genoeg om gedrag te beïnvloeden.
En als jeDoenAls de agent rechtstreeks commando's mag uitvoeren, kan een kwaadaardige vaardigheid "handsfree compromittering" mogelijk maken.
'Maar hoe zit het dan met MCP? Is het niet de bedoeling dat gereedschap daardoor veiliger wordt?'
Het Model Context Protocol (MCP) is een echte stap voorwaarts in de structurering van de toegang tot tools. Het standaardiseert hoe hosts tools, resources en prompts beschikbaar stellen en legt de nadruk op toestemming en controle van de gebruiker.
MCP maakt vaardigheden echter niet op magische wijze veilig.
Waarom?
- Vaardigheden kunnen gebruikers instrueren om commando's buiten de MCP-grens uit te voeren.
- Vaardigheden kunnen verwijzen naar scripts of downloads die MCP nooit aanraken.
- Niet elke vaardigheid maakt gebruik van MCP.
MCP kan helpen wanneer de host sterke toegangsrechten, duidelijke toestemmingsprompts, logging en veilige standaardinstellingen implementeert. Maar een op Markdown gebaseerd distributiemechanisme kan dit nog steeds omzeilen door middel van ouderwetse social engineering.
Dit is de agentversie van beveiliging in de toeleveringsketen (en we hebben dit al eerder meegemaakt).
De softwarewereld heeft op de harde manier geleerd dat:
- Populaire registers worden misbruikt.
- Typosquatting werkt.
- "Installeer deze helper" is een veelgebruikt startpunt.
- De meest waardevolle slachtoffers zijn degenen die dingen bouwen.
Vaardigheidsplatformen combineren die lessen met twee nieuwe versnellers:
- Het "pakket" kan instructies zijn.Instructies zijn lastiger betrouwbaar te scannen, niet de code zelf.
- De runtime-omgeving is rijk aan inloggegevens.Door het ontwerp: browsers die overal zijn ingelogd, terminals met SSH-sleutels, cloud-CLI's, wachtwoordmanagers en lokale bestanden.
In zekere zin is een marktplaats voor vaardigheden een appwinkel waar de beste apps de mogelijkheid krijgen om te zeggen: "Kopieer en plak dit in Terminal om de functie in te schakelen." Dat probleem is niet op te lossen met één enkel selectievakje.
Praktische verdedigingsmechanismen (voor normale gebruikers)
Als je experimenteert met een agent die lokale toegang heeft, moet je deze behandelen als een nieuwe gebruiker van het besturingssysteem met superkrachten.
Dit is het pragmatische uitgangspunt:
- Gebruik een aparte machine of virtuele machine.Voor agent-experimenten. Geen opgeslagen bedrijfslogins. Geen SSH-sleutels voor productieomgevingen. Geen cloud-beheersessies.
- Bij installatieprogramma's van één regel code staat standaard 'nee'.Vooral alles wat de gegevens via een pipe naar `sh` doorstuurt, base64 gebruikt of je vraagt om besturingssysteembeveiligingen te verwijderen.
- Vertrouw niet op de meest gedownloade items.Populariteit is een groeistrategie, geen veiligheidsmodel.
- Als je iets al hebt uitgevoerd, draai dan eerst de belangrijkste onderdelen door.Browsersessies, SSH-sleutels, API-tokens, cloud-sleutels.
- Voorkeur gaat uit naar vaardigheden die brongecontroleerd en beoordeelbaar zijn.(Git-repositories met geschiedenis, bekende beheerders en duidelijke herkomst).
Wat marktplaatsen moeten doen (om te overleven)
Als je een openbaar register van vaardigheden beheert, creëer je een potentieel aanvalsoppervlak.
Enkele praktische stappen die de kosten voor een aanvaller aanzienlijk verhogen:
- Reputatie en herkomst van de uitgever(geverifieerde identiteiten, geschiedenis, handtekening).
- Geautomatiseerd scannenop verdachte patronen (gecodeerde payloads, verhulde one-liners, verwijdering uit quarantaine, met wachtwoord beveiligde archieven, "installeer kernafhankelijkheid" met externe links).
- Waarschuwing: wrijving in de gebruikersinterfacevoor externe links en shell-opdrachten.
- Snelle uitschakeling en zichtbare incidentrespons(Behandel het als een app store, niet als een pastebin).
Geen van deze oplossingen is perfect, maar ze geven je tijd – en tijd is wat verdedigers nodig hebben.
Wat moeten makelaars in de toekomst aannemen?
Als je de agent-runtime zelf bouwt, ga er dan vanuit dat vaardigheden als wapens zullen worden ingezet.
Dat betekent:
- Standaard weiger ik de uitvoering van het commando(Vereist toestemming per commando, geen eenmalige schakelaars).
- Sterke zandbaktechniekvoor toegang tot het bestandssysteem en de browser.
- Beperkte, tijdsgebonden machtigingenmet eenvoudige herroeping.
- Controleerbare logboekenvan wat de agent las en wat hij uitvoerde.
Het eindresultaat is dezelfde richting die de cloud jaren geleden al insloeg: identiteit, beleid, minimale bevoegdheden en audit trails – maar dan teruggebracht tot het niveau van het werkstation.
Kortom
Het verhaal achter de OpenClaw-vaardigheden gaat niet alleen over "een paar mensen die malware hebben geüpload". Het is een voorproefje van het volgende strijdveld in de toeleveringsketen:Vaardigheden als distributiemiddel, Markdown als uitvoeringsmethode en agents als versneller.
Als agents op onze persoonlijke en zakelijke computers moeten draaien, heeft het ecosysteem een vertrouwenslaag nodig die kennisbanken behandelt als appwinkels, documentatie als code en 'nuttige automatisering' als een bevoorrechte handeling – en niet als een alledaagse handigheid.
Bronnen
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18