Este artigo ainda não foi traduzido para o português — exibindo o original em russo.
Habr AI→ original

Habilidades OpenClaw: instalação, criação e proteção contra 341 conjuntos maliciosos

A pesquisa mostra que na plataforma OpenClaw (um sistema que gerencia habilidades de agentes de IA) 341 habilidades maliciosas foram encontradas entre 2.857 verificadas. Essas habilidades não são plugins ou conteúdo — são instruções que permitem que um agente leia arquivos, execute comandos do sistema operacional e acesse a rede. Uma versão instalada incorretamente pode dar a um atacante execução de código em um ambiente privilegiado.

Processado por IA de Habr AI; editado por Hamidun News
Habilidades OpenClaw: instalação, criação e proteção contra 341 conjuntos maliciosos
Fonte: Habr AI. Colagem: Hamidun News.
◐ Ouvir artigo

Автор материала на Habr опубликовал разбор системы навыков (skills) в OpenClaw после того, как в ходе проверки 2857 навыков было выявлено 341 вредоносный — и, как подчёркивается в статье, это только те случаи, которые удалось найти. Публикация объясняет, что навыки в OpenClaw — это не пассивный контент и не обычные плагины, а инструкции, по которым автономный агент читает файлы, запускает команды и обращается в сеть, то есть фактически получает привилегированный доступ к системе пользователя.

Почему навыки OpenClaw — это не просто плагины

  • Проверено навыков — 2857
  • Выявлено вредоносных — 341
  • Источник риска — площадка ClawHub, откуда пользователи устанавливают сторонние навыки
  • Природа навыка — не контент, а инструкции, дающие агенту доступ к файлам, командам и сети
  • Последствие неудачной установки — выполнение кода незнакомца в привилегированной среде агента

Объясняется, что архитектурно навык в OpenClaw — это набор инструкций, которые агент интерпретирует и исполняет с теми же правами, что есть у самого агента в системе: чтение и запись файлов, запуск команд оболочки, сетевые запросы. В отличие от классического плагина, который обычно ограничен строго определённым API и песочницей, навык может использовать любые возможности, доступные агенту в целом, — а поскольку современные автономные агенты нередко работают с широкими правами ради удобства пользователя, эта разница оказывается принципиальной. Именно поэтому одна неудачная установка навыка из открытого каталога ClawHub равнозначна тому, чтобы отдать незнакомому автору инструкций выполнение кода в привилегированной среде — с теми же последствиями, что и запуск непроверенного скрипта от имени пользователя на его собственной машине.

Как устроена система приоритетов и почему порядок важен?

Материал разбирает, где хранятся навыки, как их создавать самостоятельно и почему порядок приоритета между несколькими установленными навыками имеет значение больше, чем может показаться на первый взгляд: если два навыка предлагают конфликтующие или пересекающиеся инструкции, то в зависимости от того, какой из них агент применит первым, поведение системы может радикально различаться — включая ситуации, когда более поздний, вредоносный навык способен переопределить безопасные инструкции, установленные ранее, и таким образом незаметно для пользователя изменить логику работы всего агента.

Что делать, чтобы не превратить удобство в инцидент

Автор формулирует практические рекомендации по защите: внимательно проверять источник навыка перед установкой, отдавать предпочтение навыкам с открытым и проверяемым кодом инструкций, ограничивать права самого агента там, где это возможно, и понимать, что каталог вроде ClawHub, при всей его пользе для быстрого расширения возможностей агента, по своей природе является таким же вектором атаки, как и любой другой публичный репозиторий стороннего кода — с той разницей, что скомпрометированный навык получает доступ не к изолированному контейнеру, а напрямую к рабочей среде агента и, зачастую, к данным и учётным данным пользователя, что делает цену ошибки при выборе навыка значительно выше, чем при установке обычного стороннего пакета.

Отдельное место в материале занимает разбор того, как писать собственные, безопасные навыки: автор советует явно ограничивать в описании навыка перечень действий, которые он должен выполнять, избегать избыточно широких формулировок вроде «делай всё необходимое» и документировать, какие файлы, команды и сетевые адреса навык использует легитимно, — чтобы при аудите или подозрении на конфликт с другим навыком можно было быстро понять, какое поведение является ожидаемым, а какое сигнализирует о компрометации.

Цифра 341 вредоносный навык из 2857 проверенных, которую приводит автор, важна не сама по себе, а как индикатор масштаба: это данные лишь о найденных случаях, а значит, реальная доля скомпрометированных или откровенно вредоносных навыков на площадке может быть выше. Для сообщества пользователей OpenClaw это означает, что полагаться исключительно на факт публикации навыка в каталоге ClawHub как на подтверждение его безопасности нельзя — модерация каталога снижает риск, но не устраняет его полностью, и конечная ответственность за проверку устанавливаемого навыка остаётся на самом пользователе.

ZK
Hamidun News
Notícias de AI sem ruído. Seleção editorial diária de mais de 400 fontes. Produto de Zhemal Khamidun, Head of AI na Alpina Digital.

Precisa de IA funcionando dentro da sua empresa — não só no feed de notícias?

Eu construo IA em produção para empresas — CRM sob medida, ferramentas internas, agentes autônomos, automação de processos. Pertence a você, moldada ao seu processo, sem taxa por usuário. Feito por Zhemal Khamidun, CPO da AlpinaGPT (plataforma de IA, 6.000+ usuários).

O que você acha?
Carregando comentários…