Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Ekosystemy agentów AI coraz częściej opierają się na zewnętrznych rozszerzeniach, które zwiększają możliwości modeli i automatyzują pracę z plikami, API oraz usługami firmowymi. W przypadku OpenClaw taką rolę pełnią skills publikowane w marketplace ClawHub. Problem polega na tym, że pakiety te mogą otrzymywać szerokie uprawnienia do lokalnych zasobów, poświadczeń i procesów roboczych użytkownika, stając się krytycznym elementem łańcucha dostaw AI.
Najnowsze ustalenia badaczy pokazują, że ten model dystrybucji może być nadużywany nie tylko do klasycznej kradzieży danych, ale także do manipulowania zachowaniem agentów oraz omijania mechanizmów bezpieczeństwa. To wyraźny sygnał, że rozszerzenia dla agentów AI należy traktować podobnie jak biblioteki, kontenery i zależności aplikacyjne wysokiego ryzyka.
W skrócie
W marketplace ClawHub wykryto pięć złośliwych skills podszywających się pod legalne rozszerzenia dla OpenClaw. Pakiety reprezentowały trzy główne klasy zagrożeń: infostealery, mechanizmy unikania detekcji oraz zagrożenia agentowe nastawione na zysk finansowy.
- część skills była ukierunkowana na kradzież poświadczeń i danych lokalnych,
- niektóre pakiety komunikowały się z infrastrukturą C2,
- jeden z wariantów ukrywał downloader w sztucznie powiększonym pliku README,
- inne rozszerzenia miały wpływać na rekomendacje lub działania podejmowane przez agenta.
Po zgłoszeniu incydentu wskazane pakiety zostały usunięte, a powiązane konta zablokowane. Sam przypadek potwierdza jednak, że zagrożenie ma charakter systemowy, a nie incydentalny.
Kontekst / historia
OpenClaw szybko zyskał zainteresowanie deweloperów i organizacji po uruchomieniu platformy pod koniec 2025 roku. Od początku pojawiały się jednak ostrzeżenia, że model oparty na pobieraniu i uruchamianiu zewnętrznych skills może otworzyć nowy front ataków supply chain.
Wcześniejsze analizy rynku wskazywały już na obecność podejrzanych i złośliwych pakietów w tym ekosystemie. Badacze opisywali zarówno klasyczne malware osadzane w rozszerzeniach, jak i bardziej wyspecjalizowane techniki wymierzone bezpośrednio w agentów AI. Najnowsze odkrycia pokazują, że przestępcy rozwijają ten model, łącząc tradycyjne techniki infekcji z logiką charakterystyczną dla systemów autonomicznych.
Analiza techniczna
Wykryte pakiety pokazały, że ataki na łańcuch dostaw AI zaczynają łączyć znane techniki malware z nadużyciami specyficznymi dla środowisk agentowych. Dwa skills zawierały komponenty typu infostealer, zdolne do przechwytywania poświadczeń oraz przesyłania danych do infrastruktury kontrolowanej przez operatora. Oznacza to, że sama instalacja rozszerzenia mogła prowadzić do utraty danych uwierzytelniających, informacji systemowych i dostępu do usług zewnętrznych.
Szczególnie istotny był przypadek pakietu wykorzystującego technikę obejścia skanerów bezpieczeństwa. Złośliwy downloader został ukryty w pliku README, który sztucznie powiększono nadmiarem danych. Taki zabieg miał utrudnić lub uniemożliwić skuteczne przetworzenie pliku przez automatyczne systemy kontroli. To pokazuje, że tradycyjne skanowanie statyczne może być niewystarczające w środowisku, gdzie pakiety są mieszaniną kodu, tekstu instruktażowego i logiki interpretowanej przez model.
Najciekawszą kategorię stanowiły zagrożenia agentowe. Jeden ze skills miał manipulować rekomendacjami finansowymi generowanymi przez agenta, przekierowując użytkownika przez linki afiliacyjne kontrolowane przez operatora. Inny opisywano jako narzędzie wspierające działania finansowe o wysokim ryzyku nadużyć, takie jak front-running czy schematy pump-and-dump z użyciem tokenów memowych.
Kluczowy problem wynika z natury samych skills. W dużej mierze opierają się one na języku naturalnym i instrukcjach interpretowanych przez model, a nie wyłącznie na klasycznym kodzie źródłowym. To utrudnia jednoznaczną ocenę intencji pakietu metodami statycznymi, ponieważ złośliwa logika może być ukryta w semantyce poleceń, sposobie wykorzystania uprawnień lub komunikacji z zasobami zewnętrznymi po instalacji.
Konsekwencje / ryzyko
Ryzyko dla organizacji korzystających z OpenClaw i podobnych platform jest wielowarstwowe. Na podstawowym poziomie złośliwe skills mogą prowadzić do wycieku poświadczeń, plików lokalnych, danych wrażliwych oraz informacji o środowisku pracy. W bardziej zaawansowanym scenariuszu agent może zostać skłoniony do wykonywania nieautoryzowanych działań, zmiany odpowiedzi, manipulowania rekomendacjami lub nadużywania przyznanych integracji.
Zagrożenie jest szczególnie poważne tam, gdzie agent AI ma dostęp do poczty, repozytoriów kodu, narzędzi DevOps, systemów SaaS, portfeli kryptowalutowych czy danych klientów. W takim modelu kompromitacja pojedynczego skill nie musi kończyć się na stacji roboczej użytkownika. Może stać się punktem wejścia do szerszego środowiska przedsiębiorstwa, podobnie jak w klasycznych atakach software supply chain, lecz z dodatkową warstwą nieprzewidywalności wynikającą z autonomii agenta.
Istotne jest również to, że zagrożenia agentowe nie zawsze przypominają tradycyjne malware. Część aktywności może wyglądać jak legalne operacje wykonywane przez zaufanego asystenta AI, co utrudnia wykrywanie incydentów na podstawie prostych wskaźników kompromitacji lub samych sygnatur.
Rekomendacje
Organizacje wdrażające agentów AI powinny traktować skills i pluginy jako element wysokiego ryzyka w łańcuchu dostaw oprogramowania. Kluczowe jest odejście od domyślnego zaufania do marketplace’ów i przyjęcie modelu zero trust wobec każdego zewnętrznego pakietu.
- weryfikować autorów i pochodzenie publikowanych skills,
- prowadzić ręczny i automatyczny przegląd zawartości pakietów, w tym plików opisowych oraz instrukcji tekstowych,
- uruchamiać rozszerzenia w środowiskach izolowanych z minimalnym zakresem uprawnień,
- monitorować ruch wychodzący agentów i porównywać go z deklarowaną funkcją skills,
- ograniczać dostęp agentów do poświadczeń, plików lokalnych, API i systemów biznesowych zgodnie z zasadą najmniejszych uprawnień,
- utrzymywać listy dozwolonych rozszerzeń i blokować instalację niezatwierdzonych pakietów,
- prowadzić ciągłą obserwację zachowania skills po wdrożeniu, a nie tylko jednorazowy audyt przed instalacją.
Dodatkowo zespoły SOC i DevSecOps powinny rozszerzyć procedury wykrywania o telemetrykę specyficzną dla agentów AI, taką jak nietypowe wywołania API, nieudokumentowane połączenia sieciowe, zmiany wzorców rekomendacji, nowe zależności instalowane przez rozszerzenia czy niestandardowe interakcje z danymi lokalnymi. W środowiskach produkcyjnych warto również wyraźnie oddzielić agentów testowych od tych, które mają dostęp do systemów krytycznych.
Podsumowanie
Incydent związany z ClawHub pokazuje, że łańcuch dostaw AI staje się realnym i szybko rozwijającym się obszarem ataków. Wykryte złośliwe skills łączyły klasyczne kradzieże danych z technikami unikania detekcji oraz manipulowaniem autonomicznym zachowaniem agentów.
Dla organizacji to ważny sygnał, że bezpieczeństwo systemów AI nie może ograniczać się wyłącznie do ochrony modelu lub infrastruktury. Równie krytyczna jest kontrola rozszerzeń, integracji i pakietów dostarczanych przez zewnętrzny ekosystem. W praktyce oznacza to konieczność objęcia skills takim samym poziomem nadzoru, jak biblioteki, kontenery i zależności aplikacyjne.
Źródła
- Dark Reading — More Malicious OpenClaw Skills Threaten AI Supply Chain — https://www.darkreading.com/cyber-risk/malicious-openclaw-skills-clawhub-threaten-ai-supply-chain
- Palo Alto Networks Unit 42 Blog — OpenClaw/ClawHub malicious skills analysis — https://unit42.paloaltonetworks.com/openclaw-clawhub-malicious-skills/
- Bitdefender Labs — analiza zagrożeń w ekosystemie OpenClaw skills — https://www.bitdefender.com/
- Koi Security — ClawHavoc research — https://www.koi.ai/
- Trend Micro — analiza skills dystrybuujących AMOS — https://www.trendmicro.com/