V zadnjih nekaj letih je »agent umetne inteligence« prenehal biti le marketinška fraza in postal pravi delovni tok: pomočnik, ki lahko bere vaše datoteke, odpre brskalnik, izvaja ukaze in združuje dejanja v različnih storitvah. To je obljuba.
Težava je v tem, damoč ima distribucijski kanalIn ta kanal se vse pogosteje imenujespretnost: majhen, deljiv paket z navodili, ki agenta (in pogosto uporabnika) nauči, kako opraviti nalogo. To je čas za trgovino z aplikacijami za agente – le da so »aplikacije« pogostonavodila za znižanje cen.
Poročila tega tedna o zlonamernih spretnostih OpenClaw so zgodnji in zelo glasen signal, da se bomo kmalu ponovili zgodovini dobavne verige odprte kode – vendar z novostjo: namesto da bi zastrupili prevedeno odvisnost, lahko napadalci zastrupijodokumentacijain uporabite agentovo ustrežljivost kot mazivo.
Spodaj je praktična razlaga, kaj se je zgodilo, zakaj deluje tako dobro in kaj lahko storite glede tega.
Kaj so OpenClaw veščine (in zakaj so pomembne)
OpenClaw je populariziral preprost model razširitve: dodajte »veščino«, ki pojasnjuje, kako opraviti ozko nalogo – objavo na družbenih omrežjih, čiščenje map, povzemanje poročila, avtomatizacijo poteka dela – in agent pridobi novo zmogljivost.
V širšem ekosistemu »veščin agentov« je veščina običajno mapa, zgrajena okoliSKILL.mddatoteka. Ta datoteka vsebuje:
- Metapodatki(ime / opis)
- Navodila(dejanski koraki)
- Neobvezno:skriptein druga združena sredstva
To se sliši neškodljivo, ker je videti kot dokumentacija. Ampak dokumentacija je ravno tisto, čemur ljudje hitro sledijo, še posebej, če je videti kot seznam predpogojev ali vodnik za namestitev.
Spretnosti imajo tudi dinamiko »zmagovalec vzame vse«: ljudje gravitirajo k temu, kar je priljubljeno, kaj je novo in kar je videti, kot da bo prihranilo čas. Zaradi tega je javni trg spretnosti zelo dragocen cilj: z nekaj najboljšimi prenosi lahko dosežete koncentriran nabor zahtevnih uporabnikov – razvijalcev, operaterjev in vseh, ki imajo na svojem računalniku dragocene reference.
Osnovni trik: markdown ni več »vsebina« – to je namestitveni program
Tradicionalni napadi na dobavno verigo programske opreme pogosto zahtevajo tehnične naložbe: zmedo glede odvisnosti, tipografske napake, zlonamerne skripte po namestitvi, ohranjanje nadzora nad imenom paketa in izogibanje skenerjem.
Trg znanj in spretnosti znižuje standarde.
Zlonamerna veščina lahko naredi nekaj tako preprostega, kot je to:
- Predstavite verodostojno orodje (»veščina Twitterja«, »sledilnik kriptovalut«, »pomočnik za avtomatizacijo«).
- Dodajte razdelek »Predpogoji« z »zahtevano odvisnostjo«.
- Zagotovite priročno povezavo in enovrstični ukaz.
- Za izvedbo se zanesite na človeka (ali agenta).
To ni nova ideja socialnega inženiringa – uporablja se že leta – ampak delovni tokovi agentovojačatito:
- Agenti samozavestno povzemajo dokumente (»Samo zaženite to, da namestite odvisnost«).
- Agenti zmanjšajo trenje tako, da namesto vas ustvarijo ukaz.
- V nekaterih nastavitvah lahko agenti sami izvajajo ukaze lupine.
Na tej točki »dokumentacija« postane pot oddaljenega izvajanja.
Kaj poročila pravijo, da se je zgodilo v ekosistemu OpenClaw
Več člankov opisuje kampanjo, v kateri so napadalci na tržnico ClawHub naložili veliko število zlonamernih veščin in uporabili »korake za nastavitev« za dostavo zlonamerne programske opreme za krajo informacij.
Po besedah Jasona Mellerja iz 1Passworda je ena od najpogosteje prenašanih veščin vključevala navodila, ki so uporabnike usmerila v postopno verigo dostave: povezavo do »odvisnosti«, zakrit ukaz in nato koristni tovor, ki je na koncu namestil program za krajo informacij, namenjen vdoru v računalnik in pridobivanju dragocenih skrivnosti.
CyberInsider, ki se sklicuje na raziskavo podjetja Koi Security, opisuje podoben vzorec v velikem obsegu: trojanske spretnosti z »predpogoji«, ki uporabnikom naročajo, naj zaženejo zakrite skripte lupine ali prenesejo arhive, zaščitene z geslom, kar doseže vrhunec v koristnih obremenitvah, kot je Atomic macOS Stealer (AMOS) – družina zlonamerne programske opreme, povezana s krajo poverilnic in ciljanjem denarnic.
Ali se natančne številke med poročili razlikujejo,oblikaje dosleden:
- Spretnosti, uporabljene kot distribucija
- »Predpogojna« navodila, uporabljena kot prepričevalni element
- Kradljivci informacij, uporabljeni kot končni cilj
Ta končni cilj je pomemben: sodobni kradljivci informacij ne iščejo enega samega gesla – iščejožetoni seje,profili brskalnika,SSH ključi,poverilnice v oblakuinkripto denarniceZ drugimi besedami: stvari, ki en ogrožen prenosnik spremenijo v širši kompromis.
Zakaj agenti to naredijo slabše od običajne prevarantske povezave za prenos
Če ste kdaj pomislili: "Jaz ne bi nasedel na to," imate verjetno prav, ko ste mirni in skeptični.
Toda poteki dela agentov spremenijo kontekst:
- Hitrost postane privzeta.Uporabljate agenta, ker želite hitro ukrepati.
- Kognitivna obremenitev je oddana zunanjim izvajalcem.Agent spremeni neurejeno stran z navodili v samozavesten kontrolni seznam.
- Avtoriteta je izposojena.Če agent reče »To je standardna odvisnost«, se zdi preverjen.
Z drugimi besedami: agenta ni treba »prevarati« v tehničnem smislu. Samo prisoten mora biti, ko vas spodbujajo k tveganemu dejanju. To je dovolj, da vpliva na vedenje.
In če tinareditiČe agentu omogočite neposredno izvajanje ukazov, lahko zlonamerna veščina postane »prostoročni kompromis«.
'Kaj pa MCP? Mar ne naj bi to naredilo orodja varnejša?'
Protokol konteksta modela (MCP) je resničen korak naprej pri strukturiranju dostopa do orodij. Standardizira, kako gostitelji izpostavljajo orodja, vire in pozive, ter poudarja soglasje in nadzor uporabnikov.
Vendar MCP ne naredi "veščin" čarobno varnih.
Zakaj?
- Spretnosti lahko uporabnikom naročijo izvajanje ukazov zunaj meje MCP.
- Spretnosti se lahko povezujejo s skripti ali prenosi, ki se nikoli ne dotikajo MCP.
- Vsaka veščina sploh ne uporablja MCP.
MCP lahko pomaga, če gostitelj implementira močno dodeljevanje dovoljenj, jasne pozive k soglasju, beleženje in varne privzete nastavitve. Vendar pa ga lahko mehanizem distribucije, ki temelji na znižanju cen, še vedno zaobide z navadnim starim socialnim inženiringom.
To je agentska različica varnosti dobavne verige (in o tem smo že govorili)
Svet programske opreme se je na težji način naučil, da:
- Priljubljeni registri so zlorabljeni.
- Tipografsko skvotiranje deluje.
- »Namesti tega pomočnika« je pogosta vstopna točka.
- Najdragocenejše žrtve so tiste, ki gradijo stvari.
Trgi znanj in spretnosti združujejo te izkušnje z dvema novima pospeševalcema:
- "Paket" so lahko navodila, ne kode – in navodila je težje zanesljivo skenirati.
- Izvajalno okolje je bogato s poverilnicamipo zasnovi: brskalniki, prijavljeni v vse, terminali s ključi SSH, oblačni CLI-ji, upravitelji gesel in lokalne datoteke.
V nekem smislu je tržnica znanj trgovina z aplikacijami, kjer lahko najboljše aplikacije rečejo »Kopiraj in prilepi to v Terminal, da omogočiš funkcijo.« To ni rešljiv problem z enim potrditvenim poljem.
Praktična obramba (za običajne uporabnike)
Če eksperimentirate z agentom, ki ima lokalni dostop, ga morate obravnavati kot novega uporabnika operacijskega sistema s supermočmi.
Tukaj je pragmatično izhodišče:
- Uporabite namenski računalnik ali virtualni strojza poskuse agentov. Brez shranjenih poslovnih prijav. Brez produkcijskih ključev SSH. Brez sej skrbništva v oblaku.
- Pri enovrstičnih namestitvenih programih je privzeta nastavitev »ne«.Še posebej vse, kar se zvija v sh, uporablja base64 ali vas prosi, da odstranite zaščite operacijskega sistema.
- Ne zaupajte »najbolj prenesenim«.Priljubljenost je trik za rast, ne varnostni model.
- Če ste že nekaj izvedli, najprej izmenično izberite tisto, kar je pomembno.Seje brskalnika, ključi SSH, žetoni API-ja, ključi v oblaku.
- Prednost dajte veščinam, ki so pod nadzorom virov in jih je mogoče pregledati(Git repozitorij z zgodovino, znanimi vzdrževalci, jasnim izvorom).
Kaj bi morale tržnice storiti (če želijo preživeti)
Če vodite javni register znanj in spretnosti, izvajate napadalno površino.
Nekaj praktičnih korakov, ki znatno povečajo stroške napadalca:
- Ugled in izvor založnika(preverjene identitete, zgodovina, podpisovanje).
- Samodejno skeniranjeza sumljive vzorce (kodirani koristni tovori, zakrite enovrstične izjave, odstranitev iz karantene, arhivi, zaščiteni z geslom, »odvisnost od namestitve jedra« z zunanjimi povezavami).
- Opozorilo o trenju uporabniškega vmesnikaza zunanje povezave in ukaze lupine.
- Hitra odstranitev in viden odziv na incident(obravnavajte ga kot trgovino z aplikacijami, ne kot Pastebin).
Nič od tega ni popolno, vendar kupujejo čas – in čas je tisto, kar branilci potrebujejo.
Kaj naj graditelji agentov predvidevajo v prihodnje
Če gradite samo izvajalno okolje agenta, predpostavite, da bodo veščine orožene.
To pomeni:
- Izvajanje ukaza za zavrnitev privzetih vrednosti(zahtevajo soglasje za vsak ukaz posebej, ne pa enkratnih preklopov).
- Močno peskovno okoljeza dostop do datotečnega sistema in brskalnika.
- Časovno omejena dovoljenja z omejenim obsegomz enostavnim preklicem.
- Dnevniki, ki jih je mogoče spremljatitega, kar je agent prebral in kaj je izvedel.
Končno stanje je v isti smeri, kot jo je oblak ubral pred leti: identiteta, politika, najmanj privilegijev in revizijske sledi – vendar znižano na raven delovne postaje.
Bistvo
Zgodba o znanjih OpenClaw ni le »nekateri ljudje so naložili zlonamerno programsko opremo«. Gre za predogled naslednjega bojišča v dobavni verigi:veščine kot distribucija, markdown kot izvedbena pot in agenti kot pospeševalnik.
Če bodo agenti delovali na naših osebnih in službenih računalnikih, ekosistem potrebuje plast zaupanja, ki tržnice znanj obravnava kot trgovine z aplikacijami, dokumentacijo kot kodo in »koristno avtomatizacijo« obravnava kot privilegirano operacijo – ne kot priložnostno udobje.
Viri
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18