Under de senaste åren har ”AI-agent” slutat vara en marknadsföringsfras och blivit ett verkligt arbetsflöde: en assistent som kan läsa dina filer, öppna din webbläsare, köra kommandon och sammanfoga åtgärder över olika tjänster. Det är löftet.
Problemet är attström har en distributionskanalOch den kanalen kallas alltmer för enskicklighet: ett litet, delbart "instruktionspaket" som lär en agent (och ofta användaren) hur man utför en uppgift. Det är appbutikens ögonblick för agenter – förutom att "apparna" ofta ärinstruktioner för nedskrivning.
Den här veckans rapporter om skadliga OpenClaw-färdigheter är en tidig, mycket tydlig signal om att vi är på väg att upprepa historien om öppen källkods leveranskedjor – men med en twist: istället för att förgifta ett kompilerat beroende kan angripare förgiftadokumentationoch använd agentens hjälpsamhet som smörjmedel.
Nedan följer en praktisk förklaring av vad som hände, varför det fungerar så bra och vad du kan göra åt det.
Vad OpenClaw-färdigheter är (och varför de är viktiga)
OpenClaw populariserade en enkel tilläggsmodell: lägg till en "färdighet" som förklarar hur man utför en begränsad uppgift – publicera på sociala medier, rensa mappar, sammanfatta en rapport, automatisera ett arbetsflöde – och agenten får en ny funktion.
I det bredare ekosystemet för "agentfärdigheter" är en färdighet vanligtvis en mapp byggd kring enSKILL.mdfil. Den filen innehåller:
- Metadata(namn / beskrivning)
- Instruktioner(de faktiska stegen)
- Valfritt:manusoch andra paketerade tillgångar
Det låter välvilligt eftersom det ser ut som dokumentation. Men dokumentation är precis vad folk följer snabbt, särskilt när det ser ut som en lista med förkunskapskrav eller installationsguide.
Kompetenser har också en dynamik där vinnaren får allt: folk dras till det som är populärt, det som är nytt och det som ser ut att spara tid. Det gör en offentlig kompetensmarknad till ett värdefullt mål: kompromissa med några få toppnedladdningar, så kan du nå en koncentrerad grupp av avancerade användare – utvecklare, operatörer och alla som har värdefulla inloggningsuppgifter på sin maskin.
Kärnknepet: markdown är inte längre "innehåll" – det är ett installationsprogram
Traditionella attacker i programvaruleveranskedjan kräver ofta tekniska investeringar: beroendeförvirring, typosquatting, skadliga skript efter installation, att bibehålla kontroll över ett paketnamn och att undvika skannrar.
En kompetensmarknad sänker ribban.
En skadlig färdighet kan göra något så enkelt som detta:
- Presentera ett rimligt verktyg ("Twitter-färdighet", "kryptospårare", "automatiseringshjälpmedel").
- Lägg till ett avsnitt "Förutsättningar" med ett "obligatoriskt beroende".
- Tillhandahåll en praktisk länk och ett kommando i en rad.
- Lita på att människan (eller agenten) utför det.
Det är inte en ny idé om social ingenjörskonst – den har använts i åratal – utan arbetsflöden för agenter.förstärkadet:
- Agenter sammanfattar dokument med tillförsikt ("Kör bara detta för att installera beroendet").
- Agenter minskar friktionen genom att generera kommandot åt dig.
- I vissa inställningar kan agenter själva köra shell-kommandon.
Vid den tidpunkten blir "dokumentation" en fjärrkörningsväg.
Vad rapporterna säger hände i OpenClaw-ekosystemet
Flera artiklar beskriver en kampanj där angripare laddade upp ett stort antal skadliga färdigheter till ClawHub-marknaden och använde "installationssteg" för att leverera informationsstöldande skadlig kod.
Enligt Jason Meller på 1Password inkluderade en av de mest nedladdade färdigheterna instruktioner som kanaliserade användare till en stegvis leveranskedja: en länk till ett "beroende", ett obfuskerat kommando och sedan en nyttolast som slutligen installerade en informationsstjälare utformad för att plundra värdefulla hemligheter från maskinen.
CyberInsider, som hänvisar till forskning från Koi Security, beskriver ett liknande mönster i stor skala: trojanerade färdigheter med "förutsättningar" som instruerar användare att köra obfuskerade skalskript eller ladda ner lösenordsskyddade arkiv, vilket kulminerar i nyttolaster som Atomic macOS Stealer (AMOS) - en skadlig kodfamilj som är associerad med stöld av autentiseringsuppgifter och plånboksinriktning.
Huruvida de exakta siffrorna skiljer sig mellan rapporterna,formär konsekvent:
- Färdigheter som används som distribution
- "Förutsättnings"-instruktioner som används som övertalningsmedel
- Infostjälare används som slutmål
Det slutmålet spelar roll: moderna informationstjuvar är inte ute efter ett enda lösenord – de är ute eftersessionstokens,webbläsarprofiler,SSH-nycklar,molnuppgifterochkryptoplånböckerMed andra ord: det som förvandlar en komprometterad bärbar dator till en större kompromiss.
Varför agenter gör detta värre än en vanlig bluffig nedladdningslänk
Om du någonsin tänkt ”Det där skulle jag inte gå på”, har du förmodligen rätt när du är lugn och skeptisk.
Men agenternas arbetsflöden förändrar sammanhanget:
- Hastighet blir standardinställningen.Du använder en mäklare eftersom du vill agera snabbt.
- Kognitiv belastning är outsourcad.Agenten förvandlar en rörig instruktionssida till en säker checklista.
- Auktoritet är lånad.Om agenten säger ”Detta är standardberoendet” känns det som att den är granskad.
Med andra ord: agenten behöver inte bli "lurad" i teknisk mening. Den behöver bara vara närvarande medan du blir knuffad att göra något riskabelt. Det räcker för att ge ett beteendet en chans.
Och om dudotillåter agenten att köra kommandon direkt, kan en skadlig färdighet bli till en "handsfree-komprometterad funktion".
"Men hur är det med MCP? Är det inte tänkt att göra verktyg säkrare?"
Model Context Protocol (MCP) är ett verkligt steg framåt för att strukturera verktygsåtkomst. Det standardiserar hur värdar exponerar verktyg, resurser och prompter, och det betonar användarnas samtycke och kontroll.
MCP gör dock inte magiskt "färdigheter" säkra.
Varför?
- Färdigheter kan instruera användare att köra kommandon utanför MCP-gränsen.
- Färdigheter kan länka till skript eller nedladdningar som aldrig berör MCP.
- Inte alla färdigheter använder MCP alls.
MCP kan hjälpa till när värden implementerar starka behörigheter, tydliga samtyckesfrågor, loggning och säkra standardinställningar. Men en nedskrivningsbaserad distributionsmekanism kan fortfarande kringgå det genom vanlig social ingenjörskonst.
Detta är agentversionen av leveranskedjesäkerhet (och vi har varit här förut)
Mjukvaruvärlden lärde sig den hårda vägen att:
- Populära register missbrukas.
- Typosquatting fungerar.
- ”Installera den här hjälpen” är en vanlig ingångspunkt.
- De mest värdefulla offren är de som bygger saker.
Kompetensmarknader kombinerar dessa lärdomar med två nya acceleratorer:
- ”Paketet” kan vara instruktioner, inte kod – och instruktioner är svårare att skanna tillförlitligt.
- Runtime-miljön är rik på autentiseringsuppgiftergenom design: webbläsare inloggade på allt, terminaler med SSH-nycklar, moln-CLI:er, lösenordshanterare och lokala filer.
På sätt och vis är en kompetensmarknad en appbutik där de bästa apparna får säga "Kopiera och klistra in detta i Terminal för att aktivera funktionen." Det är inte ett lösbart problem med en enda kryssruta.
Praktiska försvar (för vanliga användare)
Om du experimenterar med en agent som har lokal åtkomst måste du behandla den som en ny operativsystemanvändare med superkrafter.
Här är den pragmatiska grundlinjen:
- Använd en dedikerad maskin eller virtuell datorför agentexperiment. Inga sparade företagsinloggningar. Inga SSH-nycklar för produktion. Inga molnadministratörssessioner.
- Standardinställningen är "nej" för installationsprogram med en enda rad.Särskilt allt som pipes curl in i sh, använder base64 eller ber dig att ta bort OS-skydd.
- Lita inte på "mest nedladdade".Popularitet är ett tillväxthack, inte en säkerhetsmodell.
- Rotera det som är viktigt först om du redan har kört något.Webbläsarsessioner, SSH-nycklar, API-tokens, molnnycklar.
- Föredra kompetenser som är källkontrollerade och granskningsbara(Git-repos med historik, kända utvecklare, tydlig proveniens).
Vad marknadsplatser bör göra (om de vill överleva)
Om du kör ett offentligt kompetensregister kör du en attackyta.
Några praktiska steg som avsevärt ökar angriparens kostnad:
- Utgivarens rykte och ursprung(verifierade identiteter, historik, signering).
- Automatiserad skanningför misstänkta mönster (kodade nyttolaster, obfuskerade one-liners, borttagning av karantän, lösenordsskyddade arkiv, "install core dependency" med externa länkar).
- Varning för UI-friktionför externa länkar och shell-kommandon.
- Snabb nedmontering och synlig incidentrespons(behandla det som en appbutik, inte en pastebin).
Inget av dessa är perfekt, men de köper tid – och tid är vad försvarare behöver.
Vad mäklarbyggare bör utgå ifrån framöver
Om du bygger själva agentens körningstid, anta att färdigheter kommer att vara ett vapen.
Det betyder:
- Utförande av standardkommandot "deny"(kräver samtycke per kommando, inte engångs- och för alltid-växlar).
- Stark sandlådaför åtkomst till filsystem och webbläsare.
- Omfattande, tidsbundna behörighetermed enkel återkallelse.
- Granskningsbara loggarav vad agenten läste och vad den utförde.
Sluttillståndet är samma riktning som molnet tog för flera år sedan: identitet, policy, lägsta behörighet och revisionsloggar – men ner till arbetsstationsnivå.
Slutsats
Berättelsen om OpenClaw-färdigheter handlar inte bara om att "några personer laddade upp skadlig kod". Det är en förhandstitt på nästa slagfält i leveranskedjan:färdigheter som distribution, markdown som exekveringsväg och agenter som accelerator.
Om agenter ska kunna användas på våra personliga och arbetsrelaterade maskiner behöver ekosystemet ett förtroendelager som behandlar kompetensmarknadsplatser som appbutiker, behandlar dokumentation som kod och behandlar "användbar automatisering" som en privilegierad operation – inte en tillfällig bekvämlighet.
Källor
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18