OpenClaw - популярний open-source AI-агент, який запускається на твоєму комп’ютері й може виконувати дії від твого імені - опинився в центрі скандалу через свій маркетплейс доповнень (“skills”). Дослідники виявили, що в каталозі ClawHub з’явилися сотні шкідливих skills, які маскувалися під корисні інструменти, зокрема під “крипто-помічники” та утиліти продуктивності.
Суть атаки проста: деякі skills містили інструкції, які підштовхували користувача виконати команду в терміналі або запустити скрипт. Наслідок - встановлення інфостілера (malware для крадіжки даних), який націлюється на паролі браузера, SSH-доступи, API-ключі, а в “крипто” сценаріях - на ключі гаманців і доступи до бірж.
Проблема тут навіть не тільки в самому маркетплейсі, а в природі “агентів”: OpenClaw може мати широкі дозволи (читати файли, запускати скрипти, виконувати shell-команди), тому шкідливий skill - це фактично готовий канал доставки шкідливого коду на машину користувача. Тобто ризик значно вищий, ніж у “звичайного” плагіна, який працює в більш обмеженому середовищі.
Після розголосу розробник OpenClaw запровадив базові обмеження для публікації skills (наприклад, вимогу до “віку” GitHub-акаунта) та механізм репорту, але історія вже стала нагадуванням: будь-які “skills/плагіни”, які просять запускати команди вручну або мають доступ “до всього”, потрібно сприймати як виконуваний код і ставити тільки після перевірки.