За последние пару лет «AI-агент» перестал быть просто маркетинговым слоганом и стал реальным инструментом для решения рабочих задач: помощником, который может читать ваши файлы, открывать браузер, выполнять команды и объединять действия между различными сервисами. В этом и заключается его потенциал.
Проблема в том, чтоэлектроэнергия имеет канал распределения.И этот канал все чаще называютнавык: небольшой, доступный для совместного использования пакет инструкций, который учит агента (а часто и пользователя) выполнять ту или иную задачу. Это момент, подобный App Store для агентов — за исключением того, что эти «приложения» часто представляют собойинструкции по разметке.
Сообщения на этой неделе о вредоносных навыках OpenClaw — это ранний и очень громкий сигнал о том, что мы вот-вот повторим историю цепочки поставок открытого исходного кода, но с одной особенностью: вместо отравления скомпилированной зависимости злоумышленники могут отравлятьдокументацияи использовать готовность агента помочь в качестве смазки.
Ниже приведено практическое объяснение того, что произошло, почему это так хорошо работает и что вы можете с этим сделать.
Что представляют собой навыки работы с OpenClaw (и почему они важны)
Компания OpenClaw популяризировала простую модель расширения: добавьте «навык», объясняющий, как выполнить узкую задачу — опубликовать сообщение в социальных сетях, очистить папки, составить краткое изложение отчета, автоматизировать рабочий процесс — и агент получит новые возможности.
В более широкой экосистеме «навыков агентов» навык обычно представляет собой папку, построенную вокруг определенного компонента.SKILL.mdфайл. Этот файл содержит:
- Метаданные(название / описание)
- Инструкции(фактические шаги)
- При желании:скриптыи другие объединенные активы
Это звучит безобидно, потому что выглядит как документация. Но именно документации люди и следуют быстро, особенно когда она выглядит как список необходимых условий или руководство по установке.
В сфере навыков также действует принцип «победитель забирает всё»: люди тяготеют к тому, что популярно, что ново и что, как кажется, сэкономит время. Это делает общедоступную площадку для обмена навыками очень ценной целью: взломав несколько самых популярных программ, вы можете охватить узкую группу опытных пользователей — разработчиков, операторов и всех, кто обладает ценными знаниями и навыками.
Главный секрет: Markdown — это уже не «контент», а установщик.
Традиционные атаки на цепочку поставок программного обеспечения часто требуют технических вложений: путаница зависимостей, тайпсквоттинг, вредоносные скрипты после установки, сохранение контроля над именем пакета и обход сканеров.
Рынок профессиональных навыков снижает планку.
Вредоносный навык может сделать что-то настолько простое, как это:
- Предложите правдоподобный инструмент («навык для Twitter», «криптотрекер», «помощник автоматизации»).
- Добавьте раздел «Предварительные условия» с указанием «необходимой зависимости».
- Предоставьте удобную ссылку и команду в одну строку.
- Положитесь на человека (или агента), который это выполнит.
Это не новая идея социальной инженерии — она используется уже много лет — но рабочие процессы агентовусилитьэто:
- Агенты уверенно резюмируют документацию («Просто запустите это, чтобы установить зависимость»).
- Агенты упрощают задачу, генерируя команду за вас.
- В некоторых конфигурациях агенты могут самостоятельно выполнять команды оболочки.
В этот момент «документация» превращается в удаленный путь выполнения.
Что говорится в отчётах о событиях в экосистеме OpenClaw
В многочисленных публикациях описывается кампания, в ходе которой злоумышленники загрузили большое количество вредоносных навыков на торговую площадку ClawHub и использовали «шаги по настройке» для распространения вредоносного ПО, предназначенного для кражи информации.
По словам Джейсона Меллера из 1Password, один из самых скачиваемых навыков содержал инструкции, которые направляли пользователей в поэтапную цепочку доставки: ссылка на «зависимость», обфусцированная команда, а затем полезная нагрузка, которая в конечном итоге устанавливала программу для кражи информации, предназначенную для взлома компьютера и извлечения ценных секретов.
В статье CyberInsider, ссылаясь на исследование Koi Security, описывается аналогичная схема в масштабах всей системы: троянизированные навыки с «предварительными условиями», которые инструктируют пользователей запускать обфусцированные скрипты оболочки или загружать защищенные паролем архивы, что в конечном итоге приводит к появлению таких вредоносных программ, как Atomic macOS Stealer (AMOS) — семейство вредоносных программ, связанных с кражей учетных данных и атаками на электронные кошельки.
Независимо от того, различаются ли точные данные в разных отчетах,формаявляется последовательным:
- Навыки, используемые в качестве распределения
- «Предварительные условия» используются в качестве аргумента в пользу убеждения.
- В качестве конечной цели используются программы для кражи информации.
Конечная цель имеет значение: современные похитители информации стремятся не к одному паролю, а к чему-то большему.токены сессии,профили браузеров,SSH-ключи,облачные учетные данные, икриптокошелькиДругими словами: то, что превращает один скомпрометированный ноутбук в более масштабную проблему.
Почему агенты делают это хуже, чем обычная мошенническая ссылка для скачивания
Если вы когда-либо думали: «Я бы на это не купился», то, будучи спокойным и скептически настроенным, вы, вероятно, правы.
Но рабочие процессы агентов меняют контекст:
- Скорость становится нормой.Вы пользуетесь услугами агента, потому что хотите действовать быстро.
- Когнитивная нагрузка передается на аутсорсинг.Агент превращает неряшливую страницу с инструкциями в уверенный контрольный список.
- Авторитет заимствован.Если агент говорит: «Это стандартная зависимость», это означает, что она прошла проверку.
Иными словами: агента не нужно «обманывать» в техническом смысле. Он просто должен присутствовать, когда вас подталкивают к рискованному действию. Этого достаточно, чтобы изменить поведение.
А если выделатьЕсли позволить агенту выполнять команды напрямую, вредоносный навык может превратиться в «автоматизированное компрометирование».
«А как же MCP? Разве он не должен делать инструменты безопаснее?»
Протокол контекста модели (MCP) — это настоящий шаг вперед в структурировании доступа к инструментам. Он стандартизирует способы предоставления хостами доступа к инструментам, ресурсам и запросам, а также делает акцент на согласии и контроле со стороны пользователя.
Однако MCP не делает «навыки» волшебным образом безопасными.
Почему?
- Навыки могут давать пользователям указания на выполнение команд за пределами области действия MCP.
- Навыки могут быть связаны со скриптами или файлами для скачивания, которые никогда не взаимодействуют с MCP.
- Не все навыки используют MCP.
MCP может помочь, если хост внедряет строгие механизмы управления правами доступа, четкие запросы согласия, ведение журналов и безопасные настройки по умолчанию. Однако механизм распространения на основе Markdown все еще может обойти его с помощью обычной социальной инженерии.
Это агентская версия обеспечения безопасности цепочки поставок (и мы уже проходили это раньше).
Мир программного обеспечения на собственном горьком опыте убедился в следующем:
- Популярные реестры часто используются не по назначению.
- Тайпосквоттинг работает.
- «Установите этот вспомогательный файл» — это распространённый способ начала работы.
- Самые ценные жертвы — это те, кто что-то строит.
Платформы для обмена навыками объединяют эти уроки с двумя новыми факторами ускорения:
- «Пакет» может представлять собой инструкции.Это не код, а инструкции сложнее надежно просканировать.
- Среда выполнения насыщена учетными данными.Задумка разработчиков такова: браузеры подключены ко всему, терминалы используют SSH-ключи, облачные интерфейсы командной строки, менеджеры паролей и локальные файлы.
В некотором смысле, рынок навыков — это магазин приложений, где лучшие приложения могут сказать: «Скопируйте и вставьте это в Терминал, чтобы включить эту функцию». Это не решаемая проблема с помощью одного флажка.
Практические способы защиты (для обычных пользователей)
Если вы экспериментируете с агентом, имеющим локальный доступ, вам следует относиться к нему как к новому пользователю операционной системы со сверхспособностями.
Вот прагматичный базовый принцип:
- Используйте выделенный компьютер или виртуальную машину.Для экспериментов с агентами. Сохраненные корпоративные логины не сохраняются. SSH-ключи для производственной среды не используются. Сессии администратора облака не используются.
- В однострочных установщиках по умолчанию установлено значение «нет».Особенно это касается всего, что перенаправляет curl в sh, использует base64 или требует отключения защиты операционной системы.
- Не доверяйте показателю "самые скачиваемые".Популярность — это способ быстрого роста, а не модель обеспечения безопасности.
- Если вы уже что-то запускали, начните с того, что действительно важно.Сессии браузера, SSH-ключи, API-токены, облачные ключи.
- Предпочтение отдается навыкам, требующим контроля версий и возможности проверки.(Репозитории Git с историей изменений, известными сопровождающими, четкой информацией о происхождении).
Что должны делать торговые площадки (если они хотят выжить)?
Если вы управляете общедоступным реестром навыков, вы создаете поверхность для атаки.
Несколько практических шагов, которые существенно повышают издержки для злоумышленника:
- Репутация и происхождение издателя(подтвержденные личности, история, подписание).
- Автоматическое сканированиедля выявления подозрительных шаблонов (закодированные полезные нагрузки, обфусцированные однострочные команды, удаление из карантина, архивы, защищенные паролем, «установка основной зависимости» со ссылками на сторонние сайты).
- Предупреждение о неудобствах пользовательского интерфейсадля внешних ссылок и команд оболочки.
- Быстрое задержание и видимое реагирование на инцидент(Относитесь к нему как к магазину приложений, а не как к Pastebin).
Ни один из этих способов не идеален, но они позволяют выиграть время — а время — это именно то, что нужно защитникам.
Что следует учитывать разработчикам агентов в будущем?
Если вы разрабатываете саму среду выполнения агента, предполагайте, что навыки будут использоваться в качестве оружия.
Это значит:
- Выполнение команды по умолчанию запрещено(требуется согласие на выполнение каждой команды, а не разовое включение/выключение).
- Мощная песочницадля доступа к файловой системе и браузеру.
- Ограниченные по объему и времени разрешенияс возможностью легкого отзыва.
- Журналы аудитао том, что прочитал агент и что он выполнил.
В конечном итоге мы придерживаемся того же направления, что и облачные технологии много лет назад: идентификация, политики, принцип минимальных привилегий и журналы аудита — но все это перенесено на уровень рабочих станций.
Итог
История успеха OpenClaw в сфере профессиональных навыков — это не просто «несколько человек загрузили вредоносное ПО». Это предвкушение следующего поля битвы в цепочке поставок:Навыки как средство распространения, разметка Markdown как путь выполнения, и агенты как ускоритель.
Если агенты будут использоваться на наших личных и рабочих компьютерах, экосистеме необходим уровень доверия, который будет рассматривать рынки навыков как магазины приложений, документацию как код, а «полезную автоматизацию» — как привилегированную операцию, а не как обычное удобство.
Источники
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18