I løpet av de siste par årene har «AI-agent» sluttet å være et markedsføringsbegrep og blitt en skikkelig arbeidsflyt: en assistent som kan lese filene dine, åpne nettleseren din, kjøre kommandoer og sette sammen handlinger på tvers av tjenester. Det er løftet.
Problemet er atstrøm har en distribusjonskanalOg den kanalen kalles i økende grad enferdighet: en liten, delbar «veiledningspakke» som lærer en agent (og ofte brukeren) hvordan man utfører en oppgave. Det er appbutikkøyeblikket for agenter – bortsett fra at «appene» ofte erinstruksjoner for nedskrivning.
Denne ukens rapporter om ondsinnede OpenClaw-ferdigheter er et tidlig, veldig tydelig signal om at vi er i ferd med å gjenta historien om åpen kildekode-forsyningskjede – men med en vri: i stedet for å forgifte en kompilert avhengighet, kan angripere forgiftedokumentasjonog bruk agentens hjelpsomhet som smøremiddel.
Nedenfor finner du en praktisk forklaring på hva som skjedde, hvorfor det fungerer så bra, og hva du kan gjøre med det.
Hva OpenClaw-ferdigheter er (og hvorfor de er viktige)
OpenClaw populariserte en enkel utvidelsesmodell: legg til en «ferdighet» som forklarer hvordan man utfører en smal oppgave – legger ut innlegg på sosiale medier, rydder i mapper, oppsummerer en rapport, automatiserer en arbeidsflyt – og agenten får en ny funksjon.
I det bredere økosystemet for «agentferdigheter» er en ferdighet vanligvis en mappe bygget rundt enSKILL.mdfil. Den filen inneholder:
- Metadata(navn / beskrivelse)
- Instruksjoner(de faktiske trinnene)
- Valgfritt:manusog andre samlede eiendeler
Det høres godartet ut fordi det ser ut som dokumentasjon. Men dokumentasjon er akkurat det folk følger raskt, spesielt når det ser ut som en liste over nødvendige krav eller installasjonsveiledning.
Ferdigheter har også en dynamikk der vinneren tar alt: folk tiltrekkes av det som er populært, det som er nytt og det som ser ut til å spare tid. Det gjør et offentlig kompetansemarked til et verdifullt mål: kompromiss med noen få toppnedlastinger, og du kan nå et konsentrert sett med avanserte brukere – utviklere, operatører og alle som har verdifull legitimasjon liggende på maskinen sin.
Kjernetrikset: markdown er ikke lenger «innhold» – det er et installasjonsprogram
Tradisjonelle angrep i programvareforsyningskjeden krever ofte tekniske investeringer: avhengighetsforvirring, typosquatting, ondsinnede skript etter installasjon, opprettholdelse av kontroll over et pakkenavn og unnvikelse av skannere.
Et kompetansemarked senker standarden.
En ondsinnet ferdighet kan gjøre noe så enkelt som dette:
- Presenter et troverdig verktøy («Twitter-ferdighet», «kryptosporing», «automatiseringshjelper»).
- Legg til en «Forutsetninger»-seksjon med en «påkrevd avhengighet».
- Sørg for en praktisk lenke og en kommando med én linjer.
- Stol på at mennesket (eller agenten) utfører det.
Det er ikke en ny idé innen sosial manipulering – den har blitt brukt i årevis – men arbeidsflyter for agenterforsterkeden:
- Agenter oppsummerer dokumenter med selvtillit («Bare kjør dette for å installere avhengigheten»).
- Agenter reduserer friksjon ved å generere kommandoen for deg.
- I noen oppsett kan agenter kjøre skallkommandoer selv.
På det tidspunktet blir «dokumentasjon» en ekstern utførelsesbane.
Det rapportene sier skjedde i OpenClaw-økosystemet
Flere artikler beskriver en kampanje der angripere lastet opp et stort antall ondsinnede ferdigheter til ClawHub-markedsplassen og brukte «oppsettstrinn» for å levere informasjonstyvende skadelig programvare.
Ifølge Jason Meller fra 1Password inkluderte en av de mest nedlastede ferdighetene instruksjoner som kanalisert brukere inn i en trinnvis leveringskjede: en lenke til en «avhengighet», en obfuskert kommando, og deretter en nyttelast som til slutt installerte en infostealer designet for å plyndre maskinen for verdifulle hemmeligheter.
CyberInsider, som siterer forskning fra Koi Security, beskriver et lignende mønster i stor skala: trojaneriserte ferdigheter med «forutsetninger» som instruerer brukere til å kjøre obfuskerte skallskript eller laste ned passordbeskyttede arkiver, noe som kulminerer i nyttelaster som Atomic macOS Stealer (AMOS) – en skadelig programvarefamilie assosiert med legitimasjonstyveri og lommebokmålretting.
Om de nøyaktige tallene varierer mellom rapportene,former konsistent:
- Ferdigheter brukt som distribusjon
- «Forutsetnings»-instruksjoner brukt som overtalelse
- Infotyvere brukt som sluttmål
Det endelige målet er viktig: moderne infotyvere er ikke ute etter ett passord – de er ute etterøkttokener,nettleserprofiler,SSH-nøkler,skylegitimasjon, ogkryptolommebøkerMed andre ord: tingene som forvandler én kompromittert bærbar PC til et større kompromiss.
Hvorfor agenter gjør dette verre enn en vanlig svindelnedlastingslenke
Hvis du noen gang har tenkt: «Det ville jeg ikke gått på», har du sannsynligvis rett når du er rolig og skeptisk.
Men agentarbeidsflyter endrer konteksten:
- Hastighet blir standardinnstillingen.Du bruker en megler fordi du vil handle raskt.
- Kognitiv belastning er outsourcet.Agenten forvandler en rotete instruksjonsside til en selvsikker sjekkliste.
- Myndighet er lånt.Hvis agenten sier «Dette er standardavhengigheten», føles det som om den er kontrollert.
Med andre ord: agenten trenger ikke å bli «lurt» i teknisk forstand. Den trenger bare å være til stede mens du blir dyttet til å gjøre noe risikabelt. Det er nok til å gi et hint om atferd.
Og hvis dugjøretillater agenten å kjøre kommandoer direkte, kan en ondsinnet ferdighet bli til «håndfri kompromiss».
«Men hva med MCP? Skal ikke det gjøre verktøy tryggere?»
Model Context Protocol (MCP) er et reelt skritt fremover for å strukturere verktøytilgang. Den standardiserer hvordan verter eksponerer verktøy, ressurser og ledetekster, og den vektlegger brukersamtykke og kontroll.
MCP gjør imidlertid ikke «ferdigheter» magisk trygge.
Hvorfor?
- Ferdigheter kan instruere brukere til å kjøre kommandoer utenfor MCP-grensen.
- Ferdigheter kan lenke til skript eller nedlastinger som aldri berører MCP.
- Ikke alle ferdigheter bruker MCP i det hele tatt.
MCP kan hjelpe når verten implementerer sterke tillatelser, tydelige samtykkeforespørsler, logging og sikre standardinnstillinger. Men en nedskrivningsbasert distribusjonsmekanisme kan fortsatt omgå det gjennom vanlig sosial manipulering.
Dette er agentversjonen av forsyningskjedesikkerhet (og vi har vært her før)
Programvareverdenen lærte på den harde måten at:
- Populære registre blir misbrukt.
- Typosquatting fungerer.
- «Installer denne hjelperen» er et vanlig inngangspunkt.
- De mest verdifulle ofrene er de som bygger ting.
Ferdighetsmarkedsplasser kombinerer disse lærdommene med to nye akseleratorer:
- «Pakken» kan være instruksjoner, ikke kode – og instruksjoner er vanskeligere å skanne pålitelig.
- Kjøretidsmiljøet er rikt på legitimasjonsinformasjonmed vilje: nettlesere logget inn i alt, terminaler med SSH-nøkler, skybaserte CLI-er, passordbehandlere og lokale filer.
På en måte er en ferdighetsmarkedsplass en appbutikk der de beste appene har lov til å si «Kopier og lim inn dette i Terminal for å aktivere funksjonen». Det er ikke et løsbart problem med én avkrysningsboks.
Praktiske forsvar (for vanlige brukere)
Hvis du eksperimenterer med en agent som har lokal tilgang, må du behandle den som en ny operativsystembruker med superkrefter.
Her er det pragmatiske utgangspunktet:
- Bruk en dedikert maskin eller virtuell maskinfor agenteksperimenter. Ingen lagrede bedriftspålogginger. Ingen SSH-nøkler for produksjon. Ingen skyadministratorøkter.
- Standardinnstillingen er «nei» for installasjonsprogrammer med én linje.Spesielt alt som piper krøller seg inn i sh, bruker base64, eller ber deg om å fjerne OS-beskyttelse.
- Ikke stol på «topp nedlastede».Popularitet er et veksthack, ikke en sikkerhetsmodell.
- Roter det som betyr noe først hvis du allerede har kjørt noe.Nettleserøkter, SSH-nøkler, API-tokener, skynøkler.
- Foretrekker ferdigheter som er kildekontrollerte og gjennomgåbare(Git-repoer med historikk, kjente vedlikeholdere, tydelig proveniens).
Hva markedsplasser bør gjøre (hvis de vil overleve)
Hvis du kjører et offentlig ferdighetsregister, kjører du en angrepsflate.
Noen praktiske trinn som øker angriperkostnadene betraktelig:
- Utgiverens omdømme og opprinnelse(verifiserte identiteter, historikk, signering).
- Automatisert skanningfor mistenkelige mønstre (kodede nyttelaster, obfuskerte one-liners, fjerning av karantene, passordbeskyttede arkiver, «installasjonskjerneavhengighet» med eksterne lenker).
- Advarsel om UI-friksjonfor eksterne lenker og skallkommandoer.
- Rask nedmontering og synlig hendelsesrespons(behandle det som en appbutikk, ikke en pastebin).
Ingen av disse er perfekte, men de kjøper tid – og tid er det forsvarere trenger.
Hva meglerbyggere bør anta fremover
Hvis du bygger selve agentkjøretiden, anta at ferdighetene vil bli brukt som våpen.
Det betyr:
- Standard-deny-kommandokjøring(krever samtykke per kommando, ikke én gang for alltid).
- Sterk sandboksingfor tilgang til filsystemer og nettlesere.
- Omfattede, tidsbundne tillatelsermed enkel tilbakekalling.
- Reviderbare loggerav hva agenten leste og hva den utførte.
Slutttilstanden er den samme retningen skyen tok for år siden: identitet, policy, minste rettigheter og revisjonsspor – men brakt ned til arbeidsstasjonsnivå.
Konklusjon
Historien om OpenClaw-ferdigheter er ikke bare «noen lastet opp skadelig programvare». Det er en forhåndsvisning av neste slagmark i forsyningskjeden:ferdigheter som distribusjon, markdown som en utførelsesvei og agenter som akselerator.
Hvis agenter skal bo på våre personlige og arbeidsmaskiner, trenger økosystemet et tillitslag som behandler ferdighetsmarkedsplasser som appbutikker, behandler dokumentasjon som kode og behandler «nyttig automatisering» som en privilegert operasjon – ikke en tilfeldig bekvemmelighet.
Kilder
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18