Навыки OpenClaw: установка, создание и защита от 341 вредоносного набора
Исследование показало, что на платформе OpenClaw (системе, управляющей навыками AI-агентов) обнаружено 341 вредоносный навык из 2857 проверенных. Эти навыки не являются плагинами или контентом — это инструкции, которые позволяют агенту читать файлы, запускать команды операционной системы и получать доступ в сеть. Одна неверно установленная версия может дать злоумышленнику выполнение кода в привилегированной среде.
AI-обработка оригинала Habr AI; редакция Hamidun News
Автор материала на Habr опубликовал разбор системы навыков (skills) в OpenClaw после того, как в ходе проверки 2857 навыков было выявлено 341 вредоносный — и, как подчёркивается в статье, это только те случаи, которые удалось найти. Публикация объясняет, что навыки в OpenClaw — это не пассивный контент и не обычные плагины, а инструкции, по которым автономный агент читает файлы, запускает команды и обращается в сеть, то есть фактически получает привилегированный доступ к системе пользователя.
Почему навыки OpenClaw — это не просто плагины
- Проверено навыков — 2857
- Выявлено вредоносных — 341
- Источник риска — площадка ClawHub, откуда пользователи устанавливают сторонние навыки
- Природа навыка — не контент, а инструкции, дающие агенту доступ к файлам, командам и сети
- Последствие неудачной установки — выполнение кода незнакомца в привилегированной среде агента
Объясняется, что архитектурно навык в OpenClaw — это набор инструкций, которые агент интерпретирует и исполняет с теми же правами, что есть у самого агента в системе: чтение и запись файлов, запуск команд оболочки, сетевые запросы. В отличие от классического плагина, который обычно ограничен строго определённым API и песочницей, навык может использовать любые возможности, доступные агенту в целом, — а поскольку современные автономные агенты нередко работают с широкими правами ради удобства пользователя, эта разница оказывается принципиальной. Именно поэтому одна неудачная установка навыка из открытого каталога ClawHub равнозначна тому, чтобы отдать незнакомому автору инструкций выполнение кода в привилегированной среде — с теми же последствиями, что и запуск непроверенного скрипта от имени пользователя на его собственной машине.
Как устроена система приоритетов и почему порядок важен?
Материал разбирает, где хранятся навыки, как их создавать самостоятельно и почему порядок приоритета между несколькими установленными навыками имеет значение больше, чем может показаться на первый взгляд: если два навыка предлагают конфликтующие или пересекающиеся инструкции, то в зависимости от того, какой из них агент применит первым, поведение системы может радикально различаться — включая ситуации, когда более поздний, вредоносный навык способен переопределить безопасные инструкции, установленные ранее, и таким образом незаметно для пользователя изменить логику работы всего агента.
Что делать, чтобы не превратить удобство в инцидент
Автор формулирует практические рекомендации по защите: внимательно проверять источник навыка перед установкой, отдавать предпочтение навыкам с открытым и проверяемым кодом инструкций, ограничивать права самого агента там, где это возможно, и понимать, что каталог вроде ClawHub, при всей его пользе для быстрого расширения возможностей агента, по своей природе является таким же вектором атаки, как и любой другой публичный репозиторий стороннего кода — с той разницей, что скомпрометированный навык получает доступ не к изолированному контейнеру, а напрямую к рабочей среде агента и, зачастую, к данным и учётным данным пользователя, что делает цену ошибки при выборе навыка значительно выше, чем при установке обычного стороннего пакета.
Отдельное место в материале занимает разбор того, как писать собственные, безопасные навыки: автор советует явно ограничивать в описании навыка перечень действий, которые он должен выполнять, избегать избыточно широких формулировок вроде «делай всё необходимое» и документировать, какие файлы, команды и сетевые адреса навык использует легитимно, — чтобы при аудите или подозрении на конфликт с другим навыком можно было быстро понять, какое поведение является ожидаемым, а какое сигнализирует о компрометации.
Цифра 341 вредоносный навык из 2857 проверенных, которую приводит автор, важна не сама по себе, а как индикатор масштаба: это данные лишь о найденных случаях, а значит, реальная доля скомпрометированных или откровенно вредоносных навыков на площадке может быть выше. Для сообщества пользователей OpenClaw это означает, что полагаться исключительно на факт публикации навыка в каталоге ClawHub как на подтверждение его безопасности нельзя — модерация каталога снижает риск, но не устраняет его полностью, и конечная ответственность за проверку устанавливаемого навыка остаётся на самом пользователе.
Хотите не читать про ИИ, а внедрить его?
«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.
Главное из мира ИИ — раз в неделю
7 ключевых событий недели, отобранных вручную. Без шума, репостов и пресс-релизов.
Готово! Проверьте почту — мы отправили подтверждение.