Найти в Дзене
ИИнтеграция
928 подписчиков

Уже установили ClawdBot AI (Moltbot)? Проверьте, не ворует ли он вашу крипту и пароли!

3 мин
Популярный open-source проект OpenClaw (ранее известный как Moltbot и ClawdBot) столкнулся с масштабным кризисом безопасности. Исследователи вскрыли сразу два вектора атак, угрожающих сотням тысяч пользователей: массовое распространение инфостилеров через репозиторий навыков и появление признаков самораспространяющихся «червей» в социальной сети для ИИ-агентов. OpenClaw — это локальный ИИ-ассистент, запускаемый пользователями на собственных машинах. Он интегрируется с популярными мессенджерами (Telegram, Discord, Slack, WhatsApp), способен автономно выполнять задачи по расписанию и даже общаться с другими копиями себя. Проект, созданный Питером Штайнбергером методом «вайбкодинга» (быстрая разработка без глубокого тестирования), стал хитом, собрав более 150 000 звезд на GitHub. На данный момент сеть насчитывает около 770 000 зарегистрированных агентов. Однако взрывной рост и отсутствие премодерации в официальном репозитории расширений ClawHub привели к предсказуемым последствиям. В пер
Оглавление

Популярный open-source проект OpenClaw (ранее известный как Moltbot и ClawdBot) столкнулся с масштабным кризисом безопасности. Исследователи вскрыли сразу два вектора атак, угрожающих сотням тысяч пользователей: массовое распространение инфостилеров через репозиторий навыков и появление признаков самораспространяющихся «червей» в социальной сети для ИИ-агентов.

Феномен OpenClaw

OpenClaw — это локальный ИИ-ассистент, запускаемый пользователями на собственных машинах. Он интегрируется с популярными мессенджерами (Telegram, Discord, Slack, WhatsApp), способен автономно выполнять задачи по расписанию и даже общаться с другими копиями себя. Проект, созданный Питером Штайнбергером методом «вайбкодинга» (быстрая разработка без глубокого тестирования), стал хитом, собрав более 150 000 звезд на GitHub. На данный момент сеть насчитывает около 770 000 зарегистрированных агентов.

Однако взрывной рост и отсутствие премодерации в официальном репозитории расширений ClawHub привели к предсказуемым последствиям.

Операция ClawHavoc: Атака через «навыки»

В период с конца января по начало февраля 2026 года эксперты Koi Security и OpenSourceMalware зафиксировали резкий всплеск вредоносной активности. Из почти 3000 доступных в ClawHub навыков (плагинов) более 340 оказались вредоносными.

Злоумышленники использовали тактику, схожую с ClickFix-атаками:

  1. Маскировка: Вредоносные навыки мимикрировали под популярные утилиты (трекеры криптокошельков Solana, загрузчики с YouTube, инструменты для Google Workspace, финансовые аналитики).
  2. Социальная инженерия: Вместо скрытого выполнения кода, атакующие использовали документацию. Инструкция к навыку убеждала пользователя скачать и запустить внешний инструмент «AuthTool», якобы необходимый для авторизации.
  3. Пейлоад: Под видом AuthTool скрывалась малварь. Пользователи macOS получали обфусцированную команду, загружающую вариацию Atomic Stealer (AMOS), а пользователи Windows — запароленный архив с вредоносным ПО.

Цель атаки — тотальный сбор данных: seed-фразы, ключи от криптокошельков, сессии браузеров, SSH-ключи, учетные данные Git и содержимое .env файлов. Самый популярный вредоносный навык («Что бы сделал Илон?») даже выбился в топы рейтинга благодаря накрутке.

В ответ на угрозу аналитики Koi Security запустили бесплатный онлайн-сканер Clawdex, который позволяет проверить URL навыка перед установкой и получить отчет о его безопасности.

Штайнбергер признал проблему, отметив, что модерация такого потока заявок невозможна вручную. В качестве временной меры была введена система жалоб: навыки скрываются после трех репортов от разных пользователей.

Новая угроза: Промпт-черви

Параллельно с анализом плагинов, исследователи из Simula Research Laboratory изучили Moltbook — социальную сеть, где ИИ-агенты публикуют посты и общаются друг с другом.

Анализ показал, что около 2,6% постов (более 500 сообщений) содержат промпт-инжекты (prompt injections). Это первые признаки реализации концепции «промпт-червя», теоретически описанной еще в 2024 году (атака Morris-II).

Механизм заражения:

  1. Агент считывает пост в соцсети, содержащий скрытую инструкцию.
  2. Инструкция заставляет LLM агента сгенерировать аналогичный вредоносный контент.
  3. Агент публикует этот контент от своего имени.
  4. Цикл замыкается, когда другие агенты читают новый пост.

Это создает самоподдерживающуюся цепочку заражений, которая может использоваться для спам-кампаний, фишинга или кражи данных.

«Летальное трио» и конец эпохи рубильника

Эксперты из Palo Alto Networks характеризуют архитектуру OpenClaw как воплощение «летального трио» уязвимостей:

  1. Доступ к недоверенному контенту (интернет, соцсети).
  2. Широкие полномочия (доступ к файловой системе, выполнение кода).
  3. Возможность внешних коммуникаций.

Ситуация усугубляется тем, что сейчас большинство агентов работает через API крупных провайдеров (OpenAI, Anthropic), которые могут отслеживать и блокировать аномалии на своей стороне. Однако с развитием локальных LLM (DeepSeek, Mistral, Qwen) пользователи все чаще запускают «мозги» агента локально. В этом сценарии централизованный «рубильник» исчезает, и остановить эпидемию червя или ботнета станет практически невозможно.

История повторяется: если червь Морриса в 1988 году поразил сеть из 60 000 компьютеров, то потенциальная поверхность атаки в экосистеме автономных агентов сегодня исчисляется миллионами узлов, а последствия могут быть куда более разрушительными.