Установка скиллов и плагинов OpenClaw осуществляется на ваш страх и риск. Все файлы были получены из открытых источников и предоставляются «как есть». Мы не гарантируем их корректную работу, безопасность или совместимость с вашей системой. Перед установкой настоятельно рекомендуется ознакомиться с содержимым кода и убедиться, что вы понимаете, какие изменения будут внесены в вашу систему.
Масштабная атака на цепочку поставок под названием ClawHavoc затронула ClawHub — официальный маркетплейс навыков для OpenClaw, открытого AI-агента. Исследователи обнаружили не менее 1 184 вредоносных «Skills» — пакетов плагинного типа, расширяющих возможности агента за счёт скриптов, конфигураций и ресурсов.
Злоумышленники регистрировались как разработчики и массово загружали заражённые пакеты, превратив быстрорастущую экосистему AI в площадку для распространения вредоносного ПО. Простота публикации навыков сыграла против платформы — вредоносный код маскировался под легитимные инструменты и вводил пользователей в заблуждение.
Как работала атака
Атакующие использовали методы социальной инженерии. В описаниях навыков (README или SKILL.md) размещались убедительные инструкции с «обязательными шагами», где пользователям предлагалось копировать команды в терминал или скачивать дополнительные утилиты с подозрительных сайтов.
Такая схема позволяла обходить традиционные средства защиты: вредоносные действия выполнялись самими пользователями, а не автоматически через эксплойты.
Антивирусные исследователи классифицировали угрозу как Trojan/OpenClaw.PolySkill. В ходе анализа были выявлены следующие масштабы атаки:
- Обнаружено 1 184 вредоносных навыка
- Связаны с 12 аккаунтами разработчиков
- Один из загрузчиков опубликовал 677 пакетов
- Часть вредоносных навыков оставалась доступной и после удаления
Механика вредоносных payload
По данным экспертов, вредоносные навыки внедряли нагрузку тремя основными способами:
- многоступенчатые загрузчики, скачивающие дополнительное ПО
- обратные shell-сессии через системные вызовы Python
- скрипты прямого сбора и кражи данных
Например, один из навыков, маскирующийся под погодного ассистента, похищал файл конфигурации агента, содержащий API-ключи. Другие варианты атак на macOS были связаны с модифицированным стилером Atomic, который собирал учётные данные браузеров, ключи доступа, данные Telegram и криптокошельков.
Некоторые payload’ы также создавали фальшивые окна ввода пароля или устанавливали трояны удалённого доступа, обеспечивая злоумышленникам постоянный контроль над системой.
Последствия и риски
Атака продемонстрировала уязвимость экосистем AI-агентов: сочетание простоты публикации и недостаточного контроля качества создает благоприятную среду для злоупотреблений.
Даже после удаления большинства вредоносных пакетов, часть из них продолжала распространяться и накапливать загрузки, что указывает на сохраняющийся риск для пользователей.
Рекомендации по защите
Эксперты рекомендуют:
- проводить статический анализ пакетов и документации
- проверять внешние ссылки и команды
- использовать песочницы для тестирования навыков
- оценивать репутацию разработчиков
- оперативно удалять подозрительные пакеты
Главный вывод — относиться к AI-навыкам так же, как к установщикам программ: не доверять по умолчанию и проверять перед использованием.
Файл из источника