clawdhub

clawdhub — это инструмент и навык для экосистемы OpenClaw / ClawHub, позиционируемый как CLI-утилита для управления навыками агентов. На первый взгляд он выглядит как обычный вспомогательный инструмент для разработчиков, но вокруг него сформировалось важное обсуждение безопасности.

В экосистеме ClawHub навыки (skills) играют роль расширений: они добавляют агенту новые возможности, автоматизируют задачи и позволяют интегрироваться с внешними сервисами. Однако такая гибкость одновременно создает и новую поверхность атаки.

Контекст: что такое ClawHub

ClawHub — это маркетплейс навыков для AI-агентов, где разработчики могут публиковать и устанавливать пакеты с функциональностью, аналогично npm или другим реестрам пакетов. :

Каждый навык обычно описывается через файл SKILL.md, который содержит инструкции по установке и использованию. Часто эти инструкции требуют выполнения команд в терминале или загрузки дополнительных компонентов.

В чем проблема clawdhub

Навык под названием clawdhub стал частью кампании, в которой злоумышленники маскировали вредоносные инструменты под полезные CLI-утилиты.

Он позиционировался как инструмент для «оптимизации» работы с навыками — например, ускорения публикации или кэширования. Такая формулировка специально нацелена на разработчиков, которые ищут способы улучшить производительность своих инструментов. :

Однако за этим скрывался вредоносный механизм доставки, который запускался не напрямую через код навыка, а через внешние инструкции.

Как работает атака

Атака строится вокруг социальной инженерии и доверия к документации навыка. Основной сценарий выглядит так:

• Пользователь устанавливает навык, выглядящий легитимным
• В документации есть раздел «Prerequisites» (предварительные требования)
• Пользователю предлагают скачать дополнительный инструмент или выполнить команду
• Этот шаг и является точкой компрометации

На Windows это часто загрузка защищенного паролем ZIP-архива с GitHub, внутри которого находится троян. :

На macOS используется другой подход: пользователю предлагается вставить в терминал обфусцированную команду, закодированную в base64, которая скачивает и выполняет вредоносный скрипт с удаленного сервера. :

Почему это опасно

Главная проблема в том, что навыки OpenClaw выполняются с широкими правами и могут:

• читать локальные файлы и конфигурации
• получать доступ к API-ключам и секретам
• выполнять команды в системе
• отправлять данные на внешние серверы

Вредоносные навыки используют это для кражи учетных данных, API-ключей, криптокошельков и других чувствительных данных. :

Дополнительная сложность — атаки могут быть многоэтапными и скрытыми: вредоносный код загружается извне и не всегда присутствует непосредственно в самом навыке, что затрудняет обнаружение. :

Более широкий контекст: атаки на цепочку поставок

История с clawdhub — это часть более широкой тенденции. В экосистеме ClawHub были обнаружены сотни вредоносных навыков, объединенных в кампании вроде ClawHavoc. :

Атака повторяет знакомый паттерн из других экосистем (npm, PyPI, расширения браузеров): где есть открытая публикация кода — туда приходят злоумышленники.

Рекомендации по безопасности

Если вы работаете с навыками ClawHub или подобными инструментами, важно соблюдать базовые меры безопасности:

• Проверяйте источник и репозиторий перед установкой
• Не запускайте команды из документации без понимания
• Избегайте загрузок с непроверенных источников
• Используйте изолированные среды (контейнеры, VM)
• Ограничивайте права доступа агента

Если происхождение инструмента нельзя подтвердить — его следует считать потенциально опасным и не использовать в продуктивной среде. :

Вывод

clawdhub — показательный пример того, как доверие к инструментам для AI-агентов может быть использовано против пользователя. Простая инструкция в README или SKILL.md может оказаться точкой входа для полноценной компрометации системы.

По мере роста экосистем AI-агентов безопасность навыков становится критически важной: фактически они должны рассматриваться как исполняемые программы с полным доступом к системе.