Вредоносные навыки OpenClaw угрожают цепочке поставок ИИ

OpenClaw оказался в центре внимания исследователей кибербезопасности после выявления вредоносной активности в экосистеме сторонних навыков ClawHub. По данным отчёта, опубликованные для ИИ-агента навыки, получающие широкий доступ к системе, использовались не только как инструмент автоматизации, но и как канал для компрометации пользовательских сред. Расследование, проведённое в период с февраля по май 2026 года, показало, что новая поверхность атаки вокруг ИИ-агентов уже стала полноценным вектором злоупотреблений.

Что обнаружили исследователи

Критический анализ выявил пять заблокированных вредоносных навыков, классифицированных как:

• infostealers;
• evasion techniques;
• agentic threats.

Среди обнаруженных образцов отдельно отмечалось ВПО для macOS, которое взаимодействовало с C2-серверами. Также фиксировались техники уклонения, включая добавление padding в файлы, чтобы обходить проверки такими инструментами, как VirusTotal и ClawScan.

Как работает атака через AI supply chain

Исследователи подчёркивают, что вредоносные навыки, эксплуатирующие AI supply chain, используют перехват семантических инструкций, чтобы обходить традиционные механизмы защиты. В отличие от классических уязвимостей supply chain в software, здесь злоумышленники злоупотребляют встроенным доступом, который агент ИИ уже получает по своей природе.

Это означает, что атака может быть реализована без привычных методов эксплуатации: достаточно манипулировать операционными разрешениями агента, чтобы заставить его выполнять несанкционированные действия.

Какие техники использовались

Ранние отчёты указывали, что около 17% анализированных навыков OpenClaw содержали вредоносный контент. Для доставки payload применялись разные методы, в том числе:

• обманные command structures;
• Base64-кодированные инструкции;
• redirects на сайты для paste text.

Внутри кампаний обнаруживались AMOS stealer и другие infostealers, распространявшиеся через Base64-encoded droppers. Для сохранения связи с C2 даже после удаления вредоносных навыков применялись persistent mechanisms, включая auto-updaters.

Финансовые схемы и агентное злоупотребление

Отдельного внимания заслуживает схема affiliate injection at runtime, зафиксированная в рамках financial advisory skills. Злоумышленники скрытно перенаправляли пользователей на affiliate links, получая прибыль без их ведома.

После установки такой навык сохранял real-time-контроль над referral data и мог динамически менять рекомендуемые products или services в соответствии с вредоносными целями.

Ещё один сложный сценарий атаки — agentic front-running trading. В этом случае операторы манипулировали платформой ClawHub, чтобы проводить сделки с meme-tokens с использованием нескольких AI agents. Схема строилась вокруг накопления cryptocurrency в wallet оператора до публичного запуска токенов, что создавало искусственный demand, пригодный для извлечения финансовой выгоды.

Что это означает для компаний

Авторы отчёта делают вывод: развитие подобных угроз требует от организаций жёсткого контроля supply chain и постоянной проверки сторонних навыков. Особое значение имеют следующие меры:

• проверка documentation навыков;
• верификация publisher provenance;
• line-by-line audit;
• мониторинг outbound network connections;
• выявление аномалий, указывающих на компрометацию.

По мнению исследователей, такие меры становятся обязательными для защиты сред от атак, которые продолжают адаптироваться и обходить существующие средства обнаружения.

Итог: кейс OpenClaw показывает, что ИИ-агенты и их экосистемы навыков уже превратились в отдельный класс рисков, где вредоносная активность может маскироваться под легитимную автоматизацию и использовать доверие к внутренним механизмам платформы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.