Исследователи безопасности предупреждают, что экосистема ИИ-ассистента OpenClaw (ранее Clawdbot) стала мишенью для распространения вредоносного ПО. Обнаружены вредоносные «навыки», маскирующиеся под крипто-инструменты.
Исследователи в области безопасности предупреждают, что растущая экосистема вокруг «OpenClaw» — автономного ИИ-ассистента, ранее известного как Clawdbot и Moltbot — уже стала мишенью для распространения вредоносного ПО. Согласно отчету, опубликованному OpenSourceMalware, по меньшей мере 14 вредоносных «навыков» были загружены в ClawHub в период с 27 по 29 января. Они маскируются под инструменты для торговли криптовалютой или автоматизации кошельков, пытаясь доставить вредоносное ПО в системы пользователей. Затронутые навыки размещались на ClawHub — публичном реестре, призванном облегчить пользователям OpenClaw поиск и установку сторонних расширений. Навыки в этой экосистеме представляют собой не изолированные скрипты, а папки с исполняемым кодом, которые после установки и активации могут напрямую взаимодействовать с локальной файловой системой и получать доступ к сетевым ресурсам. OpenSourceMalware утверждает, что проанализированные вредоносные навыки были нацелены как на пользователей Windows, так и macOS, и распространялись с помощью социальной инженерии. В нескольких случаях пользователям предлагалось копировать и вставлять обфусцированные команды терминала в рамках процесса «настройки», что приводило к загрузке и выполнению удаленных скриптов. Это распространенный метод, используемый злоумышленниками для сбора данных браузера и информации о криптовалютных кошельках. Один из отмеченных навыков появился на главной странице ClawHub до того, как был удален, что значительно увеличило вероятность случайной установки. Пользователь, столкнувшийся с этим объявлением, сообщил, что ему было предложено выполнить однострочную команду, которая загружала код с внешнего сервера — это вызвало бы немедленные подозрения у более опытных разработчиков, но могло легко обмануть неопытного пользователя. К сожалению, следует ожидать увеличения подобных инцидентов по мере роста популярности ИИ-инструментов агентского типа. Привлекательность OpenClaw заключается в его способности действовать от имени пользователя, упрощая рабочие процессы путем изменения доступа к файлам и выполнения команд. Эта же возможность может создавать уязвимости при внедрении стороннего кода; документация по безопасности OpenClaw предупреждает, что к навыкам и плагинам следует относиться как к доверенному коду, а их установка эквивалентна предоставлению прав на локальное выполнение. Это не первая попытка воспользоваться внезапной популярностью OpenClaw. Всего несколько дней назад исследователи безопасности также задокументировали поддельное расширение Visual Studio Code, выдававшее себя за ассистента, которое смогло доставить полезную нагрузку для удаленного доступа до его удаления. Недавнее переименование проекта с Clawdbot на Moltbot после спора о товарных знаках, а затем снова с Moltbot на OpenClaw всего за несколько дней, еще больше осложнило ситуацию, создав несколько имен, которые злоумышленники могут использовать для своих попыток социальной инженерии. До тех пор, пока не появятся более строгие меры модерации или верификации, экосистема навыков OpenClaw фактически работает на доверии. Любой, кто получает навыки из общедоступных реестров, должен проявлять такую же осторожность при их проверке, как и при работе с любой другой исполняемой зависимостью, а инструкции, требующие ручного выполнения команд, должны вызывать особую настороженность.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Luke James