Зловредные «скиллы» для OpenClaw крадут криптовалюту через ClawHub

1 час назад / Технологии → Новости / Технологии

Исследователи в области кибербезопасности предупреждают, что растущая экосистема вокруг «OpenClaw» — самоуправляемого ИИ-ассистента, ранее известного как Clawdbot и Moltbot, — уже стала целью для распространения вредоносного ПО. Согласно отчету ресурса OpenSourceMalware, в период с 27 по 29 января на ClawHub было загружено как минимум 14 зловредных «скиллов». Они маскируются под инструменты для автоматизации торговли криптовалютой или управления кошельками, пытаясь доставить вредоносное ПО на системы пользователей.

Затронутые скиллы размещались на ClawHub — публичном реестре, созданном для упрощения поиска и установки сторонних расширений для OpenClaw. Скиллы в этой экосистеме — это не изолированные скрипты, а папки с исполняемым кодом, которые после установки и активации могут напрямую взаимодействовать с локальной файловой системой и получать доступ к сетевым ресурсам.

Проанализированные зловредные скиллы нацелены как на пользователей Windows, так и macOS и полагаются на методы социальной инженерии для распространения. В нескольких случаях пользователям предлагалось скопировать и вставить зашифрованные команды терминала как часть процесса «настройки», что приводило к загрузке и выполнению удаленных скриптов. Это распространенная техника, используемая злоумышленниками для кражи данных браузера и информации из криптокошельков.

Один из опасных скиллов даже появился на главной странице ClawHub до его удаления, что значительно повысило вероятность случайной установки. Пользователь, столкнувшийся с этим предложением, описал, что ему предлагалось выполнить однострочную команду, загружающую код с внешнего сервера. Для опытных разработчиков это сразу бы вызвало подозрения, но может легко обмануть неискушенного пользователя.

К сожалению, подобных атак можно ожидать больше, учитывая рост популярности агентских ИИ-инструментов. Привлекательность OpenClaw заключается в его способности действовать от имени пользователя, объединяя такие функции, как доступ к файлам и выполнение команд, для упрощения работы. Эта же возможность создает уязвимости при использовании стороннего кода. В документации по безопасности OpenClaw предупреждается, что скиллы и плагины следует рассматривать как доверенный код, а их установка эквивалентна предоставлению привилегий локального выполнения.

Это не первая попытка использовать внезапную популярность OpenClaw. Всего несколько дней назад исследователи задокументировали поддельное расширение для Visual Studio Code, выдававшее себя за ассистента, которое успело доставить полезную нагрузку для удаленного доступа до его удаления. Недавняя смена названия проекта с Clawdbot на Moltbot из-за спора о товарном знаке, а затем с Moltbot на OpenClaw всего за несколько дней, еще больше усложнила ситуацию, создав множество имен, которые злоумышленники могут использовать в своих фишинговых атаках.

Пока не появятся более строгая модерация или система верификации, экосистема скиллов OpenClaw по сути работает на доверии. Любой, кто устанавливает скиллы из публичных реестров, должен проверять их с тем же уровнем тщательности, что и любую другую исполняемую зависимость, уделяя особое внимание инструкциям, требующим ручного выполнения команд.

ИИ: Эта новость наглядно демонстрирует классическую проблему безопасности в быстрорастущих экосистемах с открытым кодом. Популярность инструментов вроде OpenClaw привлекает не только разработчиков, но и злоумышленников, которые используют доверие пользователей и недостаток модерации. Пока сообщество не выработает надежные механизмы проверки, ответственность за безопасность ложится на конечного пользователя, что в случае с инструментами, требующими высоких привилегий, создает серьезные риски.