Шкідливі скіли ШІ проникли в маркетплейс OpenClaw для викрадення ключів та паролів

OpenClaw набирає популярності як потужний локальний ШІ-агент із відкритим вихідним кодом, призначений для повної автоматизації цифрових робочих процесів користувача. На відміну від стандартних хмарних чат-ботів, він працює безпосередньо на комп’ютері користувача, виконуючи конфіденційні завдання у фоновому режимі — від моніторингу електронної пошти та організації локальних файлів до взаємодії з API криптобірж та середовищами розробки. Щоб розширити його можливості, користувачі покладаються на ClawHub. Це маркетплейс «навичок» (skills), який дозволяє агенту взаємодіяти з різними сторонніми сервісами.

Однак ця архітектура, яка надає агенту глибокі системні дозволи, стала ахіллесовою п’ятою платформи. Згідно з детальним розслідуванням Awesome Agents, нещодавно ClawHub став плацдармом для скоординованої кампанії зі збору облікових даних користувачів. Дослідники ідентифікували 1184 шкідливі пакети, завантажені лише 12 аккаунтами. Масштаби є безпрецедентними: одному зловмиснику вдалося опублікувати 677 інфікованих навичок ШІ, перш ніж спільнота з безпеки зафіксувала цю активність.

Показники безпеки платформи малюють похмуру картину. Awesome Agents повідомляє, що приблизно 36,8% усіх доступних навичок у каталозі містять принаймні одну вразливість. Це створює серйозний ризик для всієї екосистеми, враховуючи, що наразі існує понад 135 000 активних інстансів OpenClaw у 82 країнах. Найбільш тривожним стало виявлення топової навички зі штучно завищеним рейтингом популярності, яка містила дев’ять окремих вразливостей, деякі з яких були класифіковані як критичні.

З технічного боку атака використовувала притаманну користувачам довіру до своїх ШІ-агентів. Шкідливе ПЗ часто маскувалося під стандартні інструменти для криптотрейдингу або системної оптимізації. Під час фази конфігурації ці навички пропонували користувачам виконати термінальні команди, які таємно розгортали інфостілери. Для систем macOS у кампанії віддавали перевагу Atomic Stealer, тоді як користувачі Windows ставали ціллю зашифрованих архівів, розроблених для обходу стандартних евристичних антивірусних сканувань.

Основною метою було масове викрадення конфіденційних даних. Шкідливі пакети автоматично сканували пристрої на наявність SSH-ключів, файлів конфігурації криптовалютних гаманців та збережених паролів у браузерах. Крім того, 91% позначених пакетів використовували техніку «ін’єкції інструкцій» (prompt injection). Впроваджуючи приховані вказівки в запити до мовної моделі (LLM), зловмисники могли змусити агента обходити власні протоколи безпеки та передавати викрадені дані на віддалені сервери керування.

Експерти з кібербезпеки закликають усіх користувачів OpenClaw негайно провести аудит встановлених розширень. Рекомендується видалити будь-які навички, завантажені з ClawHub за останні місяці, змінити всі паролі та перепустити SSH-ключі та API-токени. Цей інцидент підкреслює фундаментальний виклик в еволюції ШІ-агентів: без суворого підпису коду, пісочниць (sandboxing) та ручної модерації ці інструменти з високим рівнем доступу залишаються «святим Граалем» для сучасних хакерів, які шукають прямий шлях до локальної системи користувача.