Når «ferdigheter» blir forsyningskjeden: vekkerklokken for skadelig programvare fra OpenClaw-markedet

I løpet av de siste par årene har «AI-agent» sluttet å være et markedsføringsbegrep og blitt en skikkelig arbeidsflyt: en assistent som kan lese filene dine, åpne nettleseren din, kjøre kommandoer og sette sammen handlinger på tvers av tjenester. Det er løftet.

Problemet er atstrøm har en distribusjonskanalOg den kanalen kalles i økende grad enferdighet: en liten, delbar «veiledningspakke» som lærer en agent (og ofte brukeren) hvordan man utfører en oppgave. Det er appbutikkøyeblikket for agenter – bortsett fra at «appene» ofte erinstruksjoner for nedskrivning.

Denne ukens rapporter om ondsinnede OpenClaw-ferdigheter er et tidlig, veldig tydelig signal om at vi er i ferd med å gjenta historien om åpen kildekode-forsyningskjede – men med en vri: i stedet for å forgifte en kompilert avhengighet, kan angripere forgiftedokumentasjonog bruk agentens hjelpsomhet som smøremiddel.

Nedenfor finner du en praktisk forklaring på hva som skjedde, hvorfor det fungerer så bra, og hva du kan gjøre med det.

Hva OpenClaw-ferdigheter er (og hvorfor de er viktige)

OpenClaw populariserte en enkel utvidelsesmodell: legg til en «ferdighet» som forklarer hvordan man utfører en smal oppgave – legger ut innlegg på sosiale medier, rydder i mapper, oppsummerer en rapport, automatiserer en arbeidsflyt – og agenten får en ny funksjon.

I det bredere økosystemet for «agentferdigheter» er en ferdighet vanligvis en mappe bygget rundt enSKILL.mdfil. Den filen inneholder:

  • Metadata(navn / beskrivelse)
  • Instruksjoner(de faktiske trinnene)
  • Valgfritt:manusog andre samlede eiendeler

Det høres godartet ut fordi det ser ut som dokumentasjon. Men dokumentasjon er akkurat det folk følger raskt, spesielt når det ser ut som en liste over nødvendige krav eller installasjonsveiledning.

Ferdigheter har også en dynamikk der vinneren tar alt: folk tiltrekkes av det som er populært, det som er nytt og det som ser ut til å spare tid. Det gjør et offentlig kompetansemarked til et verdifullt mål: kompromiss med noen få toppnedlastinger, og du kan nå et konsentrert sett med avanserte brukere – utviklere, operatører og alle som har verdifull legitimasjon liggende på maskinen sin.

Kjernetrikset: markdown er ikke lenger «innhold» – det er et installasjonsprogram

Tradisjonelle angrep i programvareforsyningskjeden krever ofte tekniske investeringer: avhengighetsforvirring, typosquatting, ondsinnede skript etter installasjon, opprettholdelse av kontroll over et pakkenavn og unnvikelse av skannere.

Et kompetansemarked senker standarden.

En ondsinnet ferdighet kan gjøre noe så enkelt som dette:

  1. Presenter et troverdig verktøy («Twitter-ferdighet», «kryptosporing», «automatiseringshjelper»).
  2. Legg til en «Forutsetninger»-seksjon med en «påkrevd avhengighet».
  3. Sørg for en praktisk lenke og en kommando med én linjer.
  4. Stol på at mennesket (eller agenten) utfører det.

Det er ikke en ny idé innen sosial manipulering – den har blitt brukt i årevis – men arbeidsflyter for agenterforsterkeden:

  • Agenter oppsummerer dokumenter med selvtillit («Bare kjør dette for å installere avhengigheten»).
  • Agenter reduserer friksjon ved å generere kommandoen for deg.
  • I noen oppsett kan agenter kjøre skallkommandoer selv.

På det tidspunktet blir «dokumentasjon» en ekstern utførelsesbane.

Det rapportene sier skjedde i OpenClaw-økosystemet

Flere artikler beskriver en kampanje der angripere lastet opp et stort antall ondsinnede ferdigheter til ClawHub-markedsplassen og brukte «oppsettstrinn» for å levere informasjonstyvende skadelig programvare.

Ifølge Jason Meller fra 1Password inkluderte en av de mest nedlastede ferdighetene instruksjoner som kanalisert brukere inn i en trinnvis leveringskjede: en lenke til en «avhengighet», en obfuskert kommando, og deretter en nyttelast som til slutt installerte en infostealer designet for å plyndre maskinen for verdifulle hemmeligheter.

CyberInsider, som siterer forskning fra Koi Security, beskriver et lignende mønster i stor skala: trojaneriserte ferdigheter med «forutsetninger» som instruerer brukere til å kjøre obfuskerte skallskript eller laste ned passordbeskyttede arkiver, noe som kulminerer i nyttelaster som Atomic macOS Stealer (AMOS) – en skadelig programvarefamilie assosiert med legitimasjonstyveri og lommebokmålretting.

Om de nøyaktige tallene varierer mellom rapportene,former konsistent:

  • Ferdigheter brukt som distribusjon
  • «Forutsetnings»-instruksjoner brukt som overtalelse
  • Infotyvere brukt som sluttmål

Det endelige målet er viktig: moderne infotyvere er ikke ute etter ett passord – de er ute etterøkttokener,nettleserprofiler,SSH-nøkler,skylegitimasjon, ogkryptolommebøkerMed andre ord: tingene som forvandler én kompromittert bærbar PC til et større kompromiss.

Hvis du noen gang har tenkt: «Det ville jeg ikke gått på», har du sannsynligvis rett når du er rolig og skeptisk.

Men agentarbeidsflyter endrer konteksten:

  • Hastighet blir standardinnstillingen.Du bruker en megler fordi du vil handle raskt.
  • Kognitiv belastning er outsourcet.Agenten forvandler en rotete instruksjonsside til en selvsikker sjekkliste.
  • Myndighet er lånt.Hvis agenten sier «Dette er standardavhengigheten», føles det som om den er kontrollert.

Med andre ord: agenten trenger ikke å bli «lurt» i teknisk forstand. Den trenger bare å være til stede mens du blir dyttet til å gjøre noe risikabelt. Det er nok til å gi et hint om atferd.

Og hvis dugjøretillater agenten å kjøre kommandoer direkte, kan en ondsinnet ferdighet bli til «håndfri kompromiss».

«Men hva med MCP? Skal ikke det gjøre verktøy tryggere?»

Model Context Protocol (MCP) er et reelt skritt fremover for å strukturere verktøytilgang. Den standardiserer hvordan verter eksponerer verktøy, ressurser og ledetekster, og den vektlegger brukersamtykke og kontroll.

MCP gjør imidlertid ikke «ferdigheter» magisk trygge.

Hvorfor?

  • Ferdigheter kan instruere brukere til å kjøre kommandoer utenfor MCP-grensen.
  • Ferdigheter kan lenke til skript eller nedlastinger som aldri berører MCP.
  • Ikke alle ferdigheter bruker MCP i det hele tatt.

MCP kan hjelpe når verten implementerer sterke tillatelser, tydelige samtykkeforespørsler, logging og sikre standardinnstillinger. Men en nedskrivningsbasert distribusjonsmekanisme kan fortsatt omgå det gjennom vanlig sosial manipulering.

Dette er agentversjonen av forsyningskjedesikkerhet (og vi har vært her før)

Programvareverdenen lærte på den harde måten at:

  • Populære registre blir misbrukt.
  • Typosquatting fungerer.
  • «Installer denne hjelperen» er et vanlig inngangspunkt.
  • De mest verdifulle ofrene er de som bygger ting.

Ferdighetsmarkedsplasser kombinerer disse lærdommene med to nye akseleratorer:

  1. «Pakken» kan være instruksjoner, ikke kode – og instruksjoner er vanskeligere å skanne pålitelig.
  2. Kjøretidsmiljøet er rikt på legitimasjonsinformasjonmed vilje: nettlesere logget inn i alt, terminaler med SSH-nøkler, skybaserte CLI-er, passordbehandlere og lokale filer.

På en måte er en ferdighetsmarkedsplass en appbutikk der de beste appene har lov til å si «Kopier og lim inn dette i Terminal for å aktivere funksjonen». Det er ikke et løsbart problem med én avkrysningsboks.

Praktiske forsvar (for vanlige brukere)

Hvis du eksperimenterer med en agent som har lokal tilgang, må du behandle den som en ny operativsystembruker med superkrefter.

Her er det pragmatiske utgangspunktet:

  1. Bruk en dedikert maskin eller virtuell maskinfor agenteksperimenter. Ingen lagrede bedriftspålogginger. Ingen SSH-nøkler for produksjon. Ingen skyadministratorøkter.
  2. Standardinnstillingen er «nei» for installasjonsprogrammer med én linje.Spesielt alt som piper krøller seg inn i sh, bruker base64, eller ber deg om å fjerne OS-beskyttelse.
  3. Ikke stol på «topp nedlastede».Popularitet er et veksthack, ikke en sikkerhetsmodell.
  4. Roter det som betyr noe først hvis du allerede har kjørt noe.Nettleserøkter, SSH-nøkler, API-tokener, skynøkler.
  5. Foretrekker ferdigheter som er kildekontrollerte og gjennomgåbare(Git-repoer med historikk, kjente vedlikeholdere, tydelig proveniens).

Hva markedsplasser bør gjøre (hvis de vil overleve)

Hvis du kjører et offentlig ferdighetsregister, kjører du en angrepsflate.

Noen praktiske trinn som øker angriperkostnadene betraktelig:

  • Utgiverens omdømme og opprinnelse(verifiserte identiteter, historikk, signering).
  • Automatisert skanningfor mistenkelige mønstre (kodede nyttelaster, obfuskerte one-liners, fjerning av karantene, passordbeskyttede arkiver, «installasjonskjerneavhengighet» med eksterne lenker).
  • Advarsel om UI-friksjonfor eksterne lenker og skallkommandoer.
  • Rask nedmontering og synlig hendelsesrespons(behandle det som en appbutikk, ikke en pastebin).

Ingen av disse er perfekte, men de kjøper tid – og tid er det forsvarere trenger.

Hva meglerbyggere bør anta fremover

Hvis du bygger selve agentkjøretiden, anta at ferdighetene vil bli brukt som våpen.

Det betyr:

  • Standard-deny-kommandokjøring(krever samtykke per kommando, ikke én gang for alltid).
  • Sterk sandboksingfor tilgang til filsystemer og nettlesere.
  • Omfattede, tidsbundne tillatelsermed enkel tilbakekalling.
  • Reviderbare loggerav hva agenten leste og hva den utførte.

Slutttilstanden er den samme retningen skyen tok for år siden: identitet, policy, minste rettigheter og revisjonsspor – men brakt ned til arbeidsstasjonsnivå.

Konklusjon

Historien om OpenClaw-ferdigheter er ikke bare «noen lastet opp skadelig programvare». Det er en forhåndsvisning av neste slagmark i forsyningskjeden:ferdigheter som distribusjon, markdown som en utførelsesvei og agenter som akselerator.

Hvis agenter skal bo på våre personlige og arbeidsmaskiner, trenger økosystemet et tillitslag som behandler ferdighetsmarkedsplasser som appbutikker, behandler dokumentasjon som kode og behandler «nyttig automatisering» som en privilegert operasjon – ikke en tilfeldig bekvemmelighet.


Kilder

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
o Norsk bokmål