Когда «навыки» становятся цепочкой поставок: тревожный сигнал о вредоносном ПО на торговой площадке OpenClaw

За последние пару лет «AI-агент» перестал быть просто маркетинговым слоганом и стал реальным инструментом для решения рабочих задач: помощником, который может читать ваши файлы, открывать браузер, выполнять команды и объединять действия между различными сервисами. В этом и заключается его потенциал.

Проблема в том, чтоэлектроэнергия имеет канал распределения.И этот канал все чаще называютнавык: небольшой, доступный для совместного использования пакет инструкций, который учит агента (а часто и пользователя) выполнять ту или иную задачу. Это момент, подобный App Store для агентов — за исключением того, что эти «приложения» часто представляют собойинструкции по разметке.

Сообщения на этой неделе о вредоносных навыках OpenClaw — это ранний и очень громкий сигнал о том, что мы вот-вот повторим историю цепочки поставок открытого исходного кода, но с одной особенностью: вместо отравления скомпилированной зависимости злоумышленники могут отравлятьдокументацияи использовать готовность агента помочь в качестве смазки.

Ниже приведено практическое объяснение того, что произошло, почему это так хорошо работает и что вы можете с этим сделать.

Что представляют собой навыки работы с OpenClaw (и почему они важны)

Компания OpenClaw популяризировала простую модель расширения: добавьте «навык», объясняющий, как выполнить узкую задачу — опубликовать сообщение в социальных сетях, очистить папки, составить краткое изложение отчета, автоматизировать рабочий процесс — и агент получит новые возможности.

В более широкой экосистеме «навыков агентов» навык обычно представляет собой папку, построенную вокруг определенного компонента.SKILL.mdфайл. Этот файл содержит:

  • Метаданные(название / описание)
  • Инструкции(фактические шаги)
  • При желании:скриптыи другие объединенные активы

Это звучит безобидно, потому что выглядит как документация. Но именно документации люди и следуют быстро, особенно когда она выглядит как список необходимых условий или руководство по установке.

В сфере навыков также действует принцип «победитель забирает всё»: люди тяготеют к тому, что популярно, что ново и что, как кажется, сэкономит время. Это делает общедоступную площадку для обмена навыками очень ценной целью: взломав несколько самых популярных программ, вы можете охватить узкую группу опытных пользователей — разработчиков, операторов и всех, кто обладает ценными знаниями и навыками.

Главный секрет: Markdown — это уже не «контент», а установщик.

Традиционные атаки на цепочку поставок программного обеспечения часто требуют технических вложений: путаница зависимостей, тайпсквоттинг, вредоносные скрипты после установки, сохранение контроля над именем пакета и обход сканеров.

Рынок профессиональных навыков снижает планку.

Вредоносный навык может сделать что-то настолько простое, как это:

  1. Предложите правдоподобный инструмент («навык для Twitter», «криптотрекер», «помощник автоматизации»).
  2. Добавьте раздел «Предварительные условия» с указанием «необходимой зависимости».
  3. Предоставьте удобную ссылку и команду в одну строку.
  4. Положитесь на человека (или агента), который это выполнит.

Это не новая идея социальной инженерии — она используется уже много лет — но рабочие процессы агентовусилитьэто:

  • Агенты уверенно резюмируют документацию («Просто запустите это, чтобы установить зависимость»).
  • Агенты упрощают задачу, генерируя команду за вас.
  • В некоторых конфигурациях агенты могут самостоятельно выполнять команды оболочки.

В этот момент «документация» превращается в удаленный путь выполнения.

Что говорится в отчётах о событиях в экосистеме OpenClaw

В многочисленных публикациях описывается кампания, в ходе которой злоумышленники загрузили большое количество вредоносных навыков на торговую площадку ClawHub и использовали «шаги по настройке» для распространения вредоносного ПО, предназначенного для кражи информации.

По словам Джейсона Меллера из 1Password, один из самых скачиваемых навыков содержал инструкции, которые направляли пользователей в поэтапную цепочку доставки: ссылка на «зависимость», обфусцированная команда, а затем полезная нагрузка, которая в конечном итоге устанавливала программу для кражи информации, предназначенную для взлома компьютера и извлечения ценных секретов.

В статье CyberInsider, ссылаясь на исследование Koi Security, описывается аналогичная схема в масштабах всей системы: троянизированные навыки с «предварительными условиями», которые инструктируют пользователей запускать обфусцированные скрипты оболочки или загружать защищенные паролем архивы, что в конечном итоге приводит к появлению таких вредоносных программ, как Atomic macOS Stealer (AMOS) — семейство вредоносных программ, связанных с кражей учетных данных и атаками на электронные кошельки.

Независимо от того, различаются ли точные данные в разных отчетах,формаявляется последовательным:

  • Навыки, используемые в качестве распределения
  • «Предварительные условия» используются в качестве аргумента в пользу убеждения.
  • В качестве конечной цели используются программы для кражи информации.

Конечная цель имеет значение: современные похитители информации стремятся не к одному паролю, а к чему-то большему.токены сессии,профили браузеров,SSH-ключи,облачные учетные данные, икриптокошелькиДругими словами: то, что превращает один скомпрометированный ноутбук в более масштабную проблему.

Если вы когда-либо думали: «Я бы на это не купился», то, будучи спокойным и скептически настроенным, вы, вероятно, правы.

Но рабочие процессы агентов меняют контекст:

  • Скорость становится нормой.Вы пользуетесь услугами агента, потому что хотите действовать быстро.
  • Когнитивная нагрузка передается на аутсорсинг.Агент превращает неряшливую страницу с инструкциями в уверенный контрольный список.
  • Авторитет заимствован.Если агент говорит: «Это стандартная зависимость», это означает, что она прошла проверку.

Иными словами: агента не нужно «обманывать» в техническом смысле. Он просто должен присутствовать, когда вас подталкивают к рискованному действию. Этого достаточно, чтобы изменить поведение.

А если выделатьЕсли позволить агенту выполнять команды напрямую, вредоносный навык может превратиться в «автоматизированное компрометирование».

«А как же MCP? Разве он не должен делать инструменты безопаснее?»

Протокол контекста модели (MCP) — это настоящий шаг вперед в структурировании доступа к инструментам. Он стандартизирует способы предоставления хостами доступа к инструментам, ресурсам и запросам, а также делает акцент на согласии и контроле со стороны пользователя.

Однако MCP не делает «навыки» волшебным образом безопасными.

Почему?

  • Навыки могут давать пользователям указания на выполнение команд за пределами области действия MCP.
  • Навыки могут быть связаны со скриптами или файлами для скачивания, которые никогда не взаимодействуют с MCP.
  • Не все навыки используют MCP.

MCP может помочь, если хост внедряет строгие механизмы управления правами доступа, четкие запросы согласия, ведение журналов и безопасные настройки по умолчанию. Однако механизм распространения на основе Markdown все еще может обойти его с помощью обычной социальной инженерии.

Это агентская версия обеспечения безопасности цепочки поставок (и мы уже проходили это раньше).

Мир программного обеспечения на собственном горьком опыте убедился в следующем:

  • Популярные реестры часто используются не по назначению.
  • Тайпосквоттинг работает.
  • «Установите этот вспомогательный файл» — это распространённый способ начала работы.
  • Самые ценные жертвы — это те, кто что-то строит.

Платформы для обмена навыками объединяют эти уроки с двумя новыми факторами ускорения:

  1. «Пакет» может представлять собой инструкции.Это не код, а инструкции сложнее надежно просканировать.
  2. Среда выполнения насыщена учетными данными.Задумка разработчиков такова: браузеры подключены ко всему, терминалы используют SSH-ключи, облачные интерфейсы командной строки, менеджеры паролей и локальные файлы.

В некотором смысле, рынок навыков — это магазин приложений, где лучшие приложения могут сказать: «Скопируйте и вставьте это в Терминал, чтобы включить эту функцию». Это не решаемая проблема с помощью одного флажка.

Практические способы защиты (для обычных пользователей)

Если вы экспериментируете с агентом, имеющим локальный доступ, вам следует относиться к нему как к новому пользователю операционной системы со сверхспособностями.

Вот прагматичный базовый принцип:

  1. Используйте выделенный компьютер или виртуальную машину.Для экспериментов с агентами. Сохраненные корпоративные логины не сохраняются. SSH-ключи для производственной среды не используются. Сессии администратора облака не используются.
  2. В однострочных установщиках по умолчанию установлено значение «нет».Особенно это касается всего, что перенаправляет curl в sh, использует base64 или требует отключения защиты операционной системы.
  3. Не доверяйте показателю "самые скачиваемые".Популярность — это способ быстрого роста, а не модель обеспечения безопасности.
  4. Если вы уже что-то запускали, начните с того, что действительно важно.Сессии браузера, SSH-ключи, API-токены, облачные ключи.
  5. Предпочтение отдается навыкам, требующим контроля версий и возможности проверки.(Репозитории Git с историей изменений, известными сопровождающими, четкой информацией о происхождении).

Что должны делать торговые площадки (если они хотят выжить)?

Если вы управляете общедоступным реестром навыков, вы создаете поверхность для атаки.

Несколько практических шагов, которые существенно повышают издержки для злоумышленника:

  • Репутация и происхождение издателя(подтвержденные личности, история, подписание).
  • Автоматическое сканированиедля выявления подозрительных шаблонов (закодированные полезные нагрузки, обфусцированные однострочные команды, удаление из карантина, архивы, защищенные паролем, «установка основной зависимости» со ссылками на сторонние сайты).
  • Предупреждение о неудобствах пользовательского интерфейсадля внешних ссылок и команд оболочки.
  • Быстрое задержание и видимое реагирование на инцидент(Относитесь к нему как к магазину приложений, а не как к Pastebin).

Ни один из этих способов не идеален, но они позволяют выиграть время — а время — это именно то, что нужно защитникам.

Что следует учитывать разработчикам агентов в будущем?

Если вы разрабатываете саму среду выполнения агента, предполагайте, что навыки будут использоваться в качестве оружия.

Это значит:

  • Выполнение команды по умолчанию запрещено(требуется согласие на выполнение каждой команды, а не разовое включение/выключение).
  • Мощная песочницадля доступа к файловой системе и браузеру.
  • Ограниченные по объему и времени разрешенияс возможностью легкого отзыва.
  • Журналы аудитао том, что прочитал агент и что он выполнил.

В конечном итоге мы придерживаемся того же направления, что и облачные технологии много лет назад: идентификация, политики, принцип минимальных привилегий и журналы аудита — но все это перенесено на уровень рабочих станций.

Итог

История успеха OpenClaw в сфере профессиональных навыков — это не просто «несколько человек загрузили вредоносное ПО». Это предвкушение следующего поля битвы в цепочке поставок:Навыки как средство распространения, разметка Markdown как путь выполнения, и агенты как ускоритель.

Если агенты будут использоваться на наших личных и рабочих компьютерах, экосистеме необходим уровень доверия, который будет рассматривать рынки навыков как магазины приложений, документацию как код, а «полезную автоматизацию» — как привилегированную операцию, а не как обычное удобство.


Источники

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
Русский