Компания по безопасности блокчейна SlowMist выявила крупномасштабную атаку на цепочку поставок в маркетплейсе плагинов ClawHub, входящем в экосистему искусственного интеллекта OpenClaw. Проблема была обнаружена после того, как Koi Security просканировала 2 857 «скиллов» (навыков) и пометила 341 из них как вредоносные. Это означает, что примерно 12% проанализированных плагинов содержали вредоносный код.
Быстрый рост популярности OpenClaw в последние месяцы, привлекший множество разработчиков своими открытыми инструментами для создания агентов, одновременно сделал платформу привлекательной мишенью для злоумышленников. Атака стала возможной из-за слабых процедур проверки в магазине плагинов. Хакеры загружали навыки, которые на поверхности выглядели нормально, но содержали скрытые инструкции.
Согласно анализу SlowMist, многие из этих вредоносных модулей использовали двухэтапный метод атаки. На первом этапе плагин содержал замаскированные команды, часто выдаваемые за обычные шаги установки или зависимости, которые на самом деле декодировали и запускали скрытые скрипты. На втором этапе загружалась основная вредоносная полезная нагрузка, получающая данные с фиксированных доменов или IP-адресов и запускающая вредоносное ПО на системе жертвы.
В качестве примера приводится навык «X (Twitter) Trends», который казался безобидным, но содержал закодированную в Base64 бэкдор-программу, способную красть пароли, собирать файлы и отправлять их на удалённый сервер.
Масштаб инцидента удивил аналитиков. Koi Security связала большинство из 341 вредоносного скилла с одной крупной кампанией. SlowMist проанализировала более 400 индикаторов компрометации (IOC), данные указали на организованные массовые загрузки, причём многие плагины использовали одни и те же домены и инфраструктуру.
Риски для пользователей, запустивших эти модули, были серьёзными: некоторые плагины запрашивали доступ к оболочке или права на файлы, что давало вредоносному ПО возможность красть учётные данные, документы и API-ключи. Поддельные скиллы маскировались под инструменты для работы с криптовалютой, YouTube или автоматизации, используя знакомые названия для облегчения установки без подозрений.
Эксперты по безопасности уже начали работу по очистке. Koi Security выпустила бесплатный сканер для навыков OpenClaw. Пользователям настоятельно рекомендуется не запускать команды плагинов бездумно, избегать модулей, запрашивающих пароли или широкий системный доступ, а разработчикам — тестировать плагины в изолированных средах. Этот инцидент высветил риски в быстрорастущих ИИ-экосистемах, где скорость развития рынков плагинов часто опережает внедрение надёжных средств контроля безопасности.
