Habilidades OpenClaw: instalación, creación y protección contra 341 conjuntos maliciosos
La investigación muestra que en la plataforma OpenClaw (un sistema que gestiona habilidades de agentes de IA) se encontraron 341 habilidades maliciosas entre 2.857 verificadas. Estas habilidades no son plugins o contenido — son instrucciones que permiten que un agente lea archivos, ejecute comandos del sistema operativo y acceda a la red. Una versión instalada incorrectamente puede dar a un atacante ejecución de código en un entorno privilegiado.
Procesado por IA desde Habr AI; editado por Hamidun News
Автор материала на Habr опубликовал разбор системы навыков (skills) в OpenClaw после того, как в ходе проверки 2857 навыков было выявлено 341 вредоносный — и, как подчёркивается в статье, это только те случаи, которые удалось найти. Публикация объясняет, что навыки в OpenClaw — это не пассивный контент и не обычные плагины, а инструкции, по которым автономный агент читает файлы, запускает команды и обращается в сеть, то есть фактически получает привилегированный доступ к системе пользователя.
Почему навыки OpenClaw — это не просто плагины
- Проверено навыков — 2857
- Выявлено вредоносных — 341
- Источник риска — площадка ClawHub, откуда пользователи устанавливают сторонние навыки
- Природа навыка — не контент, а инструкции, дающие агенту доступ к файлам, командам и сети
- Последствие неудачной установки — выполнение кода незнакомца в привилегированной среде агента
Объясняется, что архитектурно навык в OpenClaw — это набор инструкций, которые агент интерпретирует и исполняет с теми же правами, что есть у самого агента в системе: чтение и запись файлов, запуск команд оболочки, сетевые запросы. В отличие от классического плагина, который обычно ограничен строго определённым API и песочницей, навык может использовать любые возможности, доступные агенту в целом, — а поскольку современные автономные агенты нередко работают с широкими правами ради удобства пользователя, эта разница оказывается принципиальной. Именно поэтому одна неудачная установка навыка из открытого каталога ClawHub равнозначна тому, чтобы отдать незнакомому автору инструкций выполнение кода в привилегированной среде — с теми же последствиями, что и запуск непроверенного скрипта от имени пользователя на его собственной машине.
Как устроена система приоритетов и почему порядок важен?
Материал разбирает, где хранятся навыки, как их создавать самостоятельно и почему порядок приоритета между несколькими установленными навыками имеет значение больше, чем может показаться на первый взгляд: если два навыка предлагают конфликтующие или пересекающиеся инструкции, то в зависимости от того, какой из них агент применит первым, поведение системы может радикально различаться — включая ситуации, когда более поздний, вредоносный навык способен переопределить безопасные инструкции, установленные ранее, и таким образом незаметно для пользователя изменить логику работы всего агента.
Что делать, чтобы не превратить удобство в инцидент
Автор формулирует практические рекомендации по защите: внимательно проверять источник навыка перед установкой, отдавать предпочтение навыкам с открытым и проверяемым кодом инструкций, ограничивать права самого агента там, где это возможно, и понимать, что каталог вроде ClawHub, при всей его пользе для быстрого расширения возможностей агента, по своей природе является таким же вектором атаки, как и любой другой публичный репозиторий стороннего кода — с той разницей, что скомпрометированный навык получает доступ не к изолированному контейнеру, а напрямую к рабочей среде агента и, зачастую, к данным и учётным данным пользователя, что делает цену ошибки при выборе навыка значительно выше, чем при установке обычного стороннего пакета.
Отдельное место в материале занимает разбор того, как писать собственные, безопасные навыки: автор советует явно ограничивать в описании навыка перечень действий, которые он должен выполнять, избегать избыточно широких формулировок вроде «делай всё необходимое» и документировать, какие файлы, команды и сетевые адреса навык использует легитимно, — чтобы при аудите или подозрении на конфликт с другим навыком можно было быстро понять, какое поведение является ожидаемым, а какое сигнализирует о компрометации.
Цифра 341 вредоносный навык из 2857 проверенных, которую приводит автор, важна не сама по себе, а как индикатор масштаба: это данные лишь о найденных случаях, а значит, реальная доля скомпрометированных или откровенно вредоносных навыков на площадке может быть выше. Для сообщества пользователей OpenClaw это означает, что полагаться исключительно на факт публикации навыка в каталоге ClawHub как на подтверждение его безопасности нельзя — модерация каталога снижает риск, но не устраняет его полностью, и конечная ответственность за проверку устанавливаемого навыка остаётся на самом пользователе.
¿Necesitas IA funcionando dentro de tu empresa — no solo en tu feed de noticias?
Construyo IA en producción para empresas — CRM a medida, herramientas internas, agentes autónomos, automatización de procesos. Tuya, adaptada a tu proceso, sin coste por usuario. Creado por Zhemal Khamidun, CPO de AlpinaGPT (plataforma de IA, 6.000+ usuarios).
Lo esencial de la IA — una vez por semana
Siete historias que de verdad importaron, elegidas a mano. Sin ruido ni notas de prensa.
¡Listo! Revisa tu correo para la confirmación.