När "kompetenser" blir leveranskedjan: väckarklockan för skadlig programvara från OpenClaw-marknaden

Under de senaste åren har ”AI-agent” slutat vara en marknadsföringsfras och blivit ett verkligt arbetsflöde: en assistent som kan läsa dina filer, öppna din webbläsare, köra kommandon och sammanfoga åtgärder över olika tjänster. Det är löftet.

Problemet är attström har en distributionskanalOch den kanalen kallas alltmer för enskicklighet: ett litet, delbart "instruktionspaket" som lär en agent (och ofta användaren) hur man utför en uppgift. Det är appbutikens ögonblick för agenter – förutom att "apparna" ofta ärinstruktioner för nedskrivning.

Den här veckans rapporter om skadliga OpenClaw-färdigheter är en tidig, mycket tydlig signal om att vi är på väg att upprepa historien om öppen källkods leveranskedjor – men med en twist: istället för att förgifta ett kompilerat beroende kan angripare förgiftadokumentationoch använd agentens hjälpsamhet som smörjmedel.

Nedan följer en praktisk förklaring av vad som hände, varför det fungerar så bra och vad du kan göra åt det.

Vad OpenClaw-färdigheter är (och varför de är viktiga)

OpenClaw populariserade en enkel tilläggsmodell: lägg till en "färdighet" som förklarar hur man utför en begränsad uppgift – publicera på sociala medier, rensa mappar, sammanfatta en rapport, automatisera ett arbetsflöde – och agenten får en ny funktion.

I det bredare ekosystemet för "agentfärdigheter" är en färdighet vanligtvis en mapp byggd kring enSKILL.mdfil. Den filen innehåller:

  • Metadata(namn / beskrivning)
  • Instruktioner(de faktiska stegen)
  • Valfritt:manusoch andra paketerade tillgångar

Det låter välvilligt eftersom det ser ut som dokumentation. Men dokumentation är precis vad folk följer snabbt, särskilt när det ser ut som en lista med förkunskapskrav eller installationsguide.

Kompetenser har också en dynamik där vinnaren får allt: folk dras till det som är populärt, det som är nytt och det som ser ut att spara tid. Det gör en offentlig kompetensmarknad till ett värdefullt mål: kompromissa med några få toppnedladdningar, så kan du nå en koncentrerad grupp av avancerade användare – utvecklare, operatörer och alla som har värdefulla inloggningsuppgifter på sin maskin.

Kärnknepet: markdown är inte längre "innehåll" – det är ett installationsprogram

Traditionella attacker i programvaruleveranskedjan kräver ofta tekniska investeringar: beroendeförvirring, typosquatting, skadliga skript efter installation, att bibehålla kontroll över ett paketnamn och att undvika skannrar.

En kompetensmarknad sänker ribban.

En skadlig färdighet kan göra något så enkelt som detta:

  1. Presentera ett rimligt verktyg ("Twitter-färdighet", "kryptospårare", "automatiseringshjälpmedel").
  2. Lägg till ett avsnitt "Förutsättningar" med ett "obligatoriskt beroende".
  3. Tillhandahåll en praktisk länk och ett kommando i en rad.
  4. Lita på att människan (eller agenten) utför det.

Det är inte en ny idé om social ingenjörskonst – den har använts i åratal – utan arbetsflöden för agenter.förstärkadet:

  • Agenter sammanfattar dokument med tillförsikt ("Kör bara detta för att installera beroendet").
  • Agenter minskar friktionen genom att generera kommandot åt ​​dig.
  • I vissa inställningar kan agenter själva köra shell-kommandon.

Vid den tidpunkten blir "dokumentation" en fjärrkörningsväg.

Vad rapporterna säger hände i OpenClaw-ekosystemet

Flera artiklar beskriver en kampanj där angripare laddade upp ett stort antal skadliga färdigheter till ClawHub-marknaden och använde "installationssteg" för att leverera informationsstöldande skadlig kod.

Enligt Jason Meller på 1Password inkluderade en av de mest nedladdade färdigheterna instruktioner som kanaliserade användare till en stegvis leveranskedja: en länk till ett "beroende", ett obfuskerat kommando och sedan en nyttolast som slutligen installerade en informationsstjälare utformad för att plundra värdefulla hemligheter från maskinen.

CyberInsider, som hänvisar till forskning från Koi Security, beskriver ett liknande mönster i stor skala: trojanerade färdigheter med "förutsättningar" som instruerar användare att köra obfuskerade skalskript eller ladda ner lösenordsskyddade arkiv, vilket kulminerar i nyttolaster som Atomic macOS Stealer (AMOS) - en skadlig kodfamilj som är associerad med stöld av autentiseringsuppgifter och plånboksinriktning.

Huruvida de exakta siffrorna skiljer sig mellan rapporterna,formär konsekvent:

  • Färdigheter som används som distribution
  • "Förutsättnings"-instruktioner som används som övertalningsmedel
  • Infostjälare används som slutmål

Det slutmålet spelar roll: moderna informationstjuvar är inte ute efter ett enda lösenord – de är ute eftersessionstokens,webbläsarprofiler,SSH-nycklar,molnuppgifterochkryptoplånböckerMed andra ord: det som förvandlar en komprometterad bärbar dator till en större kompromiss.

Om du någonsin tänkt ”Det där skulle jag inte gå på”, har du förmodligen rätt när du är lugn och skeptisk.

Men agenternas arbetsflöden förändrar sammanhanget:

  • Hastighet blir standardinställningen.Du använder en mäklare eftersom du vill agera snabbt.
  • Kognitiv belastning är outsourcad.Agenten förvandlar en rörig instruktionssida till en säker checklista.
  • Auktoritet är lånad.Om agenten säger ”Detta är standardberoendet” känns det som att den är granskad.

Med andra ord: agenten behöver inte bli "lurad" i teknisk mening. Den behöver bara vara närvarande medan du blir knuffad att göra något riskabelt. Det räcker för att ge ett beteendet en chans.

Och om dudotillåter agenten att köra kommandon direkt, kan en skadlig färdighet bli till en "handsfree-komprometterad funktion".

"Men hur är det med MCP? Är det inte tänkt att göra verktyg säkrare?"

Model Context Protocol (MCP) är ett verkligt steg framåt för att strukturera verktygsåtkomst. Det standardiserar hur värdar exponerar verktyg, resurser och prompter, och det betonar användarnas samtycke och kontroll.

MCP gör dock inte magiskt "färdigheter" säkra.

Varför?

  • Färdigheter kan instruera användare att köra kommandon utanför MCP-gränsen.
  • Färdigheter kan länka till skript eller nedladdningar som aldrig berör MCP.
  • Inte alla färdigheter använder MCP alls.

MCP kan hjälpa till när värden implementerar starka behörigheter, tydliga samtyckesfrågor, loggning och säkra standardinställningar. Men en nedskrivningsbaserad distributionsmekanism kan fortfarande kringgå det genom vanlig social ingenjörskonst.

Detta är agentversionen av leveranskedjesäkerhet (och vi har varit här förut)

Mjukvaruvärlden lärde sig den hårda vägen att:

  • Populära register missbrukas.
  • Typosquatting fungerar.
  • ”Installera den här hjälpen” är en vanlig ingångspunkt.
  • De mest värdefulla offren är de som bygger saker.

Kompetensmarknader kombinerar dessa lärdomar med två nya acceleratorer:

  1. ”Paketet” kan vara instruktioner, inte kod – och instruktioner är svårare att skanna tillförlitligt.
  2. Runtime-miljön är rik på autentiseringsuppgiftergenom design: webbläsare inloggade på allt, terminaler med SSH-nycklar, moln-CLI:er, lösenordshanterare och lokala filer.

På sätt och vis är en kompetensmarknad en appbutik där de bästa apparna får säga "Kopiera och klistra in detta i Terminal för att aktivera funktionen." Det är inte ett lösbart problem med en enda kryssruta.

Praktiska försvar (för vanliga användare)

Om du experimenterar med en agent som har lokal åtkomst måste du behandla den som en ny operativsystemanvändare med superkrafter.

Här är den pragmatiska grundlinjen:

  1. Använd en dedikerad maskin eller virtuell datorför agentexperiment. Inga sparade företagsinloggningar. Inga SSH-nycklar för produktion. Inga molnadministratörssessioner.
  2. Standardinställningen är "nej" för installationsprogram med en enda rad.Särskilt allt som pipes curl in i sh, använder base64 eller ber dig att ta bort OS-skydd.
  3. Lita inte på "mest nedladdade".Popularitet är ett tillväxthack, inte en säkerhetsmodell.
  4. Rotera det som är viktigt först om du redan har kört något.Webbläsarsessioner, SSH-nycklar, API-tokens, molnnycklar.
  5. Föredra kompetenser som är källkontrollerade och granskningsbara(Git-repos med historik, kända utvecklare, tydlig proveniens).

Vad marknadsplatser bör göra (om de vill överleva)

Om du kör ett offentligt kompetensregister kör du en attackyta.

Några praktiska steg som avsevärt ökar angriparens kostnad:

  • Utgivarens rykte och ursprung(verifierade identiteter, historik, signering).
  • Automatiserad skanningför misstänkta mönster (kodade nyttolaster, obfuskerade one-liners, borttagning av karantän, lösenordsskyddade arkiv, "install core dependency" med externa länkar).
  • Varning för UI-friktionför externa länkar och shell-kommandon.
  • Snabb nedmontering och synlig incidentrespons(behandla det som en appbutik, inte en pastebin).

Inget av dessa är perfekt, men de köper tid – och tid är vad försvarare behöver.

Vad mäklarbyggare bör utgå ifrån framöver

Om du bygger själva agentens körningstid, anta att färdigheter kommer att vara ett vapen.

Det betyder:

  • Utförande av standardkommandot "deny"(kräver samtycke per kommando, inte engångs- och för alltid-växlar).
  • Stark sandlådaför åtkomst till filsystem och webbläsare.
  • Omfattande, tidsbundna behörighetermed enkel återkallelse.
  • Granskningsbara loggarav vad agenten läste och vad den utförde.

Sluttillståndet är samma riktning som molnet tog för flera år sedan: identitet, policy, lägsta behörighet och revisionsloggar – men ner till arbetsstationsnivå.

Slutsats

Berättelsen om OpenClaw-färdigheter handlar inte bara om att "några personer laddade upp skadlig kod". Det är en förhandstitt på nästa slagfält i leveranskedjan:färdigheter som distribution, markdown som exekveringsväg och agenter som accelerator.

Om agenter ska kunna användas på våra personliga och arbetsrelaterade maskiner behöver ekosystemet ett förtroendelager som behandlar kompetensmarknadsplatser som appbutiker, behandlar dokumentation som kod och behandlar "användbar automatisering" som en privilegierad operation – inte en tillfällig bekvämlighet.


Källor

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
v Svenska