'Beceriler' tedarik zinciri haline geldiğinde: OpenClaw pazar yeri kötü amaçlı yazılımı bir uyarı niteliğinde

Son birkaç yıldır, "yapay zeka asistanı" bir pazarlama ifadesi olmaktan çıkıp gerçek bir iş akışı haline geldi: dosyalarınızı okuyabilen, tarayıcınızı açabilen, komutları çalıştırabilen ve hizmetler arası eylemleri bir araya getirebilen bir asistan. İşte vaat bu.

Sorun şu kiGücün bir dağıtım kanalı vardır.Ve bu kanal giderek daha çok şu şekilde anılıyor:yetenek: Bir ajana (ve genellikle kullanıcıya) bir görevi nasıl yerine getireceğini öğreten, küçük, paylaşılabilir bir "nasıl yapılır" paketi. Bu, ajanlar için uygulama mağazası anı gibi; ancak "uygulamalar" genellikle farklı şekillerde sunuluyor.indirim talimatları.

Bu haftaki kötü amaçlı OpenClaw becerileriyle ilgili raporlar, açık kaynak kodlu tedarik zinciri tarihini tekrarlamak üzere olduğumuzun erken ve çok güçlü bir sinyali niteliğinde; ancak bu sefer bir farklılık var: Saldırganlar derlenmiş bir bağımlılığı zehirlemek yerine, başka bir bağımlılığı zehirleyebilecekler.dokümantasyonve ajanın yardımseverliğinden kayganlaştırıcı olarak yararlanın.

Aşağıda, neler olup bittiğine, neden bu kadar iyi çalıştığına ve bu konuda neler yapabileceğinize dair pratik bir açıklama bulunmaktadır.

OpenClaw becerileri nelerdir (ve neden önemlidirler)?

OpenClaw, basit bir eklenti modelini popüler hale getirdi: Sosyal medyada paylaşım yapmak, klasörleri temizlemek, bir raporu özetlemek, bir iş akışını otomatikleştirmek gibi belirli bir görevi nasıl yapacağınızı açıklayan bir "beceri" ekleyin ve ajan yeni bir yetenek kazanır.

Daha geniş anlamda "ajan becerileri" ekosisteminde, bir beceri tipik olarak bir bileşen etrafında oluşturulmuş bir klasördür.BECERİ.mdDosya. Bu dosya şunları içeriyor:

  • Meta Veriler(isim / açıklama)
  • Talimatlar(gerçek adımlar)
  • İsteğe bağlı olarak:komut dosyalarıve diğer paketlenmiş varlıklar

Bu, belge gibi göründüğü için zararsız gibi geliyor. Ancak insanlar, özellikle ön koşul listesi veya kurulum kılavuzu gibi göründüğünde, belgeleri hızla takip ederler.

Beceri alanında da "kazanan her şeyi alır" dinamiği geçerlidir: insanlar popüler olana, yeni olana ve zaman kazandıracak gibi görünene yönelirler. Bu da halka açık bir beceri pazarını yüksek değerli bir hedef haline getirir: birkaç en çok indirilen beceriden ödün vererek, geliştiriciler, operatörler ve bilgisayarlarında değerli yetkinliklere sahip olan herkes gibi güçlü bir kullanıcı grubuna ulaşabilirsiniz.

İşin püf noktası şu: Markdown artık "içerik" değil, bir yükleyici.

Geleneksel yazılım tedarik zinciri saldırıları genellikle teknik yatırım gerektirir: bağımlılık karışıklığı, yazım hatasıyla alan adı ele geçirme, kötü amaçlı kurulum sonrası komut dosyaları, paket adını kontrol altında tutma ve tarayıcılardan kaçınma.

Beceri pazarı, beklentileri düşürüyor.

Kötü amaçlı bir beceri, şu kadar basit bir şey yapabilir:

  1. Akla yatkın bir araç sunun ("Twitter becerisi", "kripto takip aracı", "otomasyon yardımcısı").
  2. “Önkoşullar” bölümüne “gerekli bağımlılık” ekleyin.
  3. Kullanışlı bir bağlantı ve tek satırlık bir komut sağlayın.
  4. İşlemi gerçekleştirmek için insana (veya aracıya) güvenin.

Bu yeni bir sosyal mühendislik fikri değil; yıllardır kullanılıyor, ancak ajan iş akışlarıbüyütmekBT:

  • Aracılar, dokümanları güvenle özetliyorlar ("Bağımlılığı yüklemek için bunu çalıştırmanız yeterli").
  • Ajanlar, sizin için komutu oluşturarak sürtünmeyi azaltır.
  • Bazı kurulumlarda, aracılar kabuk komutlarını kendileri çalıştırabilirler.

Bu noktada, "dokümantasyon" uzaktan yürütme yoluna dönüşür.

Raporlarda OpenClaw ekosisteminde neler yaşandığı anlatılıyor?

Çeşitli haberlerde, saldırganların ClawHub pazar yerine çok sayıda kötü amaçlı beceri yüklediği ve bilgi hırsızlığı yapan kötü amaçlı yazılımı yaymak için "kurulum adımları" kullandığı bir kampanya anlatılıyor.

1Password'dan Jason Meller'e göre, en çok indirilen becerilerden biri, kullanıcıları aşamalı bir dağıtım zincirine yönlendiren talimatlar içeriyordu: bir "bağımlılık" bağlantısı, gizlenmiş bir komut ve nihayetinde makineden değerli sırları çalmak için tasarlanmış bir bilgi hırsızı yükleyen bir zararlı yazılım.

CyberInsider, Koi Security'nin araştırmasına atıfta bulunarak, benzer bir modelin büyük ölçekte görüldüğünü açıklıyor: Kullanıcılara gizlenmiş shell komut dosyalarını çalıştırmaları veya parola korumalı arşivleri indirmeleri talimatı veren "Önkoşullar" içeren truva atı bulaşmış beceriler, kimlik bilgilerini çalma ve cüzdan hedefleme ile ilişkilendirilen bir kötü amaçlı yazılım ailesi olan Atomic macOS Stealer (AMOS) gibi zararlı yazılımlarla sonuçlanıyor.

Raporlar arasında kesin sayılarda farklılık olup olmadığına bakılmaksızın,şekiltutarlıdır:

  • Dağıtım amacıyla kullanılan beceriler
  • İkna aracı olarak kullanılan "ön koşul" talimatları
  • Bilgi hırsızları nihai hedef olarak kullanılıyor.

Bu nihai hedef önemlidir: modern bilgi hırsızları tek bir şifrenin peşinde değiller, birden fazla şifrenin peşindeler.oturum belirteçleri,tarayıcı profilleri,SSH anahtarları,bulut kimlik bilgileri, Vekripto cüzdanlarıBaşka bir deyişle: tek bir hasarlı dizüstü bilgisayarı daha geniş bir hasara dönüştüren şey.

Eğer daha önce "Ben buna kanmazdım" diye düşündüyseniz, sakin ve şüpheci olduğunuz sürece muhtemelen haklısınızdır.

Ancak temsilci iş akışları bağlamı değiştirir:

  • Hız varsayılan değer haline gelir.Hızlı hareket etmek istediğiniz için bir aracı kullanıyorsunuz.
  • Bilişsel yük dış kaynaklara devrediliyor.Temsilci, karmaşık bir talimat sayfasını güvenilir bir kontrol listesine dönüştürüyor.
  • Yetki ödünç alınır.Eğer aracı "Bu standart bir bağımlılık" derse, bu bağımlılık doğrulanmış gibi hissedilir.

Başka bir deyişle: ajanın teknik anlamda "aldatılmasına" gerek yok. Sadece riskli bir şey yapmaya yönlendirildiğiniz sırada orada bulunması yeterli. Bu, davranışı değiştirmek için yeterli.

Ve eğer sizYapmakAjanın doğrudan komut çalıştırmasına izin verilirse, kötü amaçlı bir beceri "eller serbest güvenlik ihlali" haline gelebilir.

'Peki ya MCP? O da aletleri daha güvenli hale getirmiyor mu?'

Model Bağlam Protokolü (MCP), araç erişimini yapılandırmak için gerçek bir ilerleme adımıdır. Sunucuların araçları, kaynakları ve istemleri nasıl sunduğunu standartlaştırır ve kullanıcı onayına ve kontrolüne önem verir.

Ancak MCP, "becerileri" sihirli bir şekilde güvenli hale getirmiyor.

Neden?

  • Beceriler, kullanıcılara MCP sınırının dışında komut çalıştırmaları konusunda talimat verebilir.
  • Beceriler, MCP'ye hiç dokunmayan komut dosyalarına veya indirmelere bağlanabilir.
  • Her beceri MCP'yi hiç kullanmaz.

MCP, sunucu güçlü izinlendirme, net onay istemleri, günlük kaydı ve güvenli varsayılan ayarlar uyguladığında yardımcı olabilir. Ancak Markdown tabanlı bir dağıtım mekanizması, eski usul sosyal mühendislik yöntemleriyle yine de bu sistemi atlatabilir.

Bu, tedarik zinciri güvenliğinin ajan versiyonudur (ve bunu daha önce de yaşadık).

Yazılım dünyası şu gerçeği acı bir şekilde öğrendi:

  • Popüler kayıt defterleri kötüye kullanılıyor.
  • Yazım hatasıyla ele geçirme işe yarıyor.
  • "Bu yardımcı programı yükle" sık kullanılan bir giriş noktasıdır.
  • En değerli kurbanlar, bir şeyler inşa edenlerdir.

Beceri pazarları bu dersleri iki yeni hızlandırıcıyla birleştiriyor:

  1. "Paket" talimatlar olabilir.Kod değil, talimatlar — ve bu talimatları güvenilir bir şekilde taramak daha zordur.
  2. Çalışma ortamı, kimlik bilgileri açısından zengindir.Tasarım gereği: her şeye giriş yapmış tarayıcılar, SSH anahtarlarına sahip terminaller, bulut komut satırı arayüzleri, parola yöneticileri ve yerel dosyalar.

Bir anlamda, beceri pazarı, en iyi uygulamaların "Bu özelliği etkinleştirmek için bunu Terminal'e kopyalayıp yapıştırın" diyebildiği bir uygulama mağazasıdır. Bu, tek bir onay kutusuyla çözülebilecek bir sorun değil.

(Normal kullanıcılar için) Pratik savunma yöntemleri

Yerel erişime sahip bir aracıyla deneme yapıyorsanız, onu süper güçlere sahip yeni bir işletim sistemi kullanıcısı gibi ele almanız gerekir.

İşte pratik temel yaklaşım:

  1. Özel bir makine veya sanal makine kullanın.Ajan deneyleri için. Kaydedilmiş kurumsal oturum açma bilgileri yok. Üretim SSH anahtarları yok. Bulut yönetici oturumları yok.
  2. Tek satırlık kurulum komutlarında varsayılan olarak "hayır" seçeneğini işaretleyin.Özellikle curl komutunu sh'ye yönlendiren, base64 kullanan veya işletim sistemi korumalarını kaldırmanızı isteyen her şey.
  3. "En çok indirilenler" listesine güvenmeyin.Popülerlik bir büyüme taktiğidir, bir güvenlik modeli değildir.
  4. Daha önce bir işlem gerçekleştirdiyseniz, önce önemli olan işlemleri döndürün.Tarayıcı oturumları, SSH anahtarları, API belirteçleri, bulut anahtarları.
  5. Kaynak kontrolü yapılabilen ve incelenebilir beceriler tercih edilir.(Geçmişi olan, bakımcıları bilinen, kaynağı açıkça belirtilmiş Git depoları).

Piyasaların (var olmak istiyorlarsa) yapması gerekenler

Herkese açık bir beceri kayıt sistemi işletiyorsanız, bir saldırı yüzeyi de işletiyorsunuz demektir.

Saldırganın maliyetini anlamlı şekilde artıracak birkaç pratik adım:

  • Yayıncının itibarı ve kökeni(Doğrulanmış kimlikler, geçmiş, imza).
  • Otomatik taramaŞüpheli kalıplar için (kodlanmış yükler, gizlenmiş tek satırlık mesajlar, karantinadan çıkarma, parola korumalı arşivler, harici bağlantılar içeren "temel bağımlılığı yükle").
  • Kullanıcı arayüzü sürtünmesi uyarısıHarici bağlantılar ve kabuk komutları için.
  • Hızlı müdahale ve görünür olay yönetimi(Bunu bir uygulama mağazası gibi düşünün, pastebin gibi değil.)

Bunların hiçbiri mükemmel değil, ancak zaman kazandırıyorlar ve savunmacıların ihtiyacı olan şey de zamandır.

Emlak danışmanlarının bundan sonra nelere dikkat etmesi gerekiyor?

Eğer ajan çalışma ortamını kendiniz geliştiriyorsanız, yeteneklerin silah olarak kullanılacağını varsayın.

Bu şu anlama geliyor:

  • Varsayılan olarak komut yürütülmesini reddet(Tek seferlik ve kalıcı ayarlamalar yerine, komut başına onay gerektirir.)
  • Güçlü kum havuzuDosya sistemi ve tarayıcı erişimi için.
  • Kapsamlı, zaman sınırlı izinlerKolay iptal imkanıyla.
  • Denetlenebilir kayıtlarAjanın okudukları ve yürüttükleri arasında.

Son hedef, bulut teknolojisinin yıllar önce izlediği aynı yöndür: kimlik, politika, en az ayrıcalık ve denetim izleri; ancak bu, iş istasyonu düzeyine indirgenmiştir.

Özetle

OpenClaw becerileriyle ilgili hikaye sadece "bazı kişiler kötü amaçlı yazılım yükledi"den ibaret değil. Bu, tedarik zincirindeki bir sonraki savaş alanının ön izlemesi:Beceriler dağıtım aracı, Markdown yürütme yolu ve aracılar ise hızlandırıcı olarak işlev görüyor.

Eğer ajanlar kişisel ve iş makinelerimizde yaşamaya devam edecekse, ekosistemin beceri pazarlarını uygulama mağazaları gibi, dokümantasyonu kod gibi ve "yararlı otomasyonu" sıradan bir kolaylık değil, ayrıcalıklı bir işlem olarak ele alan bir güven katmanına ihtiyacı var.


Kaynaklar

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
Türkçe