Palo Alto Networks нашла пять вредоносных навыков для AI-агента OpenClaw на платформе ClawHub

Команда Unit 42 компании Palo Alto Networks выявила пять вредоносных навыков на платформе ClawHub — официальном маркетплейсе AI-агента OpenClaw. С их помощью злоумышленники заражали устройства пользователей стилерами — вредоносным ПО, специализирующимся на краже паролей, токенов сессий и данных криптокошельков.

Что такое

OpenClaw и ClawHub OpenClaw — AI-агент с открытой экосистемой дополнений: разработчики создают навыки — модульные компоненты, расширяющие функциональность агента, — и публикуют их на ClawHub для общего доступа. По принципу это напоминает Chrome Web Store или магазины плагинов для IDE: выбрал нужный инструмент, установил одним кликом, пользуешься. Именно эта модель и оказалась уязвимой. Пользователи, ориентирующиеся на официальный маркетплейс, обычно не изучают код каждого навыка вручную — они рассчитывают, что платформа уже проверила публикуемые компоненты. Злоумышленники сыграли именно на этом доверии. ClawHub позиционируется как безопасный каталог проверенных расширений — что именно и делает произошедшее особенно тревожным сигналом для всей аудитории агента.

Как работала атака Пять вредоносных навыков внешне выглядели как обычные инструменты продуктивности.

По описаниям на ClawHub они имитировали утилиты для автоматизации задач, работы с файлами и интеграции с внешними сервисами — типичный набор для тех, кто хочет расширить возможности агента. После установки навык активировал скрытый код, работавший параллельно со штатными функциями. Анализ Unit 42 зафиксировал следующие возможности стилера: кража паролей, сохранённых в браузерах (Chrome, Firefox, Edge) извлечение данных криптокошельков и seed-фраз перехват файлов куки и активных сессионных токенов сбор данных форм автозаполнения * передача всего собранного на серверы злоумышленников Вредонос маскировался под штатные фоновые процессы агента — именно поэтому стандартные антивирусные инструменты с трудом его выявляли.

Без специализированного поведенческого анализа пользователь мог не замечать заражения неделями. Palo Alto Networks не раскрыла названия скомпрометированных навыков, но подтвердила: все пять загружены через официальный интерфейс ClawHub.

Новый вектор угрозы

Большинство обсуждений безопасности AI-систем сосредоточено на уязвимостях самих моделей — джейлбрейке, инъекциях в промпты, обходе контент-фильтров. Атака через экосистему навыков принципиально иная: по природе она ближе к supply chain атаке на программный стек, чем к манипуляции с LLM. Маркетплейсы расширений для AI-агентов переживают быстрый рост при низкой зрелости защитных механизмов — примерно как магазины браузерных плагинов в начале 2010-х или npm-реестр до первых громких инцидентов с вредоносными пакетами. Злоумышленники умеют находить именно такие окна уязвимости и использовать их до того, как отрасль успевает выработать стандарты защиты.

«Пользователи привыкли доверять официальным магазинам расширений.

Злоумышленники эксплуатируют это доверие напрямую», — отмечают аналитики Unit 42. То, что вредоносные навыки прошли загрузку на ClawHub, говорит либо об отсутствии автоматической проверки кода, либо о её успешном обходе. Это ставит перед всей отраслью вопрос о стандартах верификации компонентов для AI-агентов.

Что это значит

По мере роста популярности открытых экосистем AI-навыков безопасность их маркетплейсов становится критической задачей — наравне с безопасностью реестров пакетов в традиционном программировании. Угрозы для AI-систем всё реже связаны с самими моделями и всё чаще — с их окружением: плагинами, интеграциями, экосистемами. Пользователям OpenClaw рекомендуется проверить список установленных расширений и удалить всё, чьё происхождение или поведение вызывает сомнения.