Ein Sicherheitsaudit von 2,857 "skills" veröffentlicht in ClawHub erkannte 341 schädliche Module, die Teil von koordinierten Kampagnen waren, nach dem Bericht von Koi Sicherheit. Was als Community-Tool gestartet wurde, um einen IA-Assistenten zu erweitern, ist ein Malware-Verteilungskanal und ein neuer Risikovektor in der Software-Versorgungskette geworden.
ClawHub, der Markt für Fähigkeiten für OpenClaw, wurde geboren, um Benutzern zu erleichtern, Erweiterungen von Dritten in OpenClaw erstellt zu installieren, der Open-Source-Assistent früher bekannt als Moltbot oder Clawdbot. Aber diese Öffnung erleichtert auch böswillige Schauspieler Pakete hochladen, die nützlich und legitim erscheinen. Koi dokumentiert, dass ein großer Teil der engagierten Fähigkeiten falsche "Voranforderung" Anweisungen enthalten, um die Ausführung von schädlichen Code auf die Opferteams zu zwingen.
Die Social Engineering, die Forscher beschreiben, ist einfach und effektiv: der Benutzer installiert ein attraktives Geschick - zum Beispiel ein Werkzeug für Solana Wallets oder YouTube-Dienstprogramme - und folgt einem Abschnitt, der vorhergehende Schritte anzeigt. In Windows wurde gebeten, ein ZIP herunterladenoffenkralle-agent.zipvon GitHub; in macOS, die Anweisungen dringend, ein in glot [.] gehostetes Skript direkt in das Terminal zu kopieren und einzufügen. Diese Art von Indikation ist genau das, was ein Angreifer braucht, um jemanden zu überzeugen, Code auszuführen, ohne zu überprüfen.
Innerhalb der passwortgeschützten Datei, die von Koi gefunden wurde, gibt es einen Trojaner mit Schlüssel-Registrierungsfunktionen, um API-Schlüssel, Passwörter und andere sensible Informationen zu erfassen, die bereits vom Assistenten selbst zugänglich sein könnten. Das Skript, das in glot [.] o gehostet wurde, führt für seinen Teil osfussierte Befehle aus, die darauf abzielen, spätere Angriffsphasen von einer von den Angreifern kontrollierten Infrastruktur wiederherzustellen. In der Infektionskette gibt es eine bestimmte IP-Adresse (91.92.242.30), die dazu dient, ein anderes Skript herunterzuladen und schließlich ein universelles Mach-O binär mit Eigenschaften, die mit Atomic Stealer (AMOS), ein kommerzieller Steler, der nach den Ergebnissen auf dem Markt für mehrere hundert Dollar im Monat angeboten wird.
Zusätzlich zu dieser Familie - von Forschern wie ClawHavoc genannt - nutzten die Angreifer suplantierende und typosquating Techniken, um ihre Fähigkeiten zu tarnen: Namen sehr ähnlich ClawHub oder Varianten mit typografischen Fehlern, zusammen mit Kryptomoneda-orientierten Dienstprogramme, Bots für Vorhersageplattformen wie Polymarket, Funktionen zum Herunterladen oder Zusammenfassen von YouTube-Videos, Selbst-Updates und vermeintliche Integration mit Google Workspace-Tools. Koi identifizierte auch Fähigkeiten, die eine umgekehrte Shell-Typ Backdoor innerhalb scheinbar funktionellen Code und andere, die exfiltrierte Assistent Anmeldeinformationen, zum Beispiel aus der Datei ~ / .clawdbot / .env zu Webhook-Dienste.
Die Kampagnenbestätigung stammte nicht aus einer Hand. Ein Forscher, der als 6 Meilen in OpenSourceMalware Er berichtete eine sehr ähnliche Aktivität, indem er feststellte, dass Module Malware verbreiten, die darauf abzielen, Informationen im Zusammenhang mit Austauschen, privaten Portemonnaies Schlüssel, SSH Anmeldeinformationen und Passwörter in Browsern gespeichert zu stehlen. Die Infrastrukturanpassung zwischen spitzen Proben verstärkt die Hypothese eines groß angelegten koordinierten Betriebs.
Das Hintergrundproblem ist die Designöffnung. Klauen Hub ermöglicht es Ihnen, Fähigkeiten mit einer Mindestanforderung zu veröffentlichen: dass der Autor ein GitHub-Konto nur eine Woche alt hat. Diese geringe Barriere kombiniert mit der wachsenden Neugier der Bereitstellung privater Assistenten veranlasste viele Menschen, OpenLaw kontinuierlich auf Maschinen wie dem Mac Mini laufen zu lassen, die bereits Aufmerksamkeit in Medien wie Business Insider und generierte Hardwareaktionen an Standorten wie Mashing.
Angesichts des Kletterns hat das OpenClaw-Team eine Funktion hinzugefügt, so dass authentifizierte Benutzer verdächtige Fähigkeiten melden können. Nach amtlicher Dokumentation kann jede Person bis zu 20 aktive Berichte halten und Objekte, die mehr als drei einzigartige Beschwerden sammeln, werden automatisch aus dem Katalog versteckt. Diese Maßnahme stellt einen ersten Schritt dar, beseitigt aber das Risiko, das einem Repository innewohnt, bei dem jeder Code mit wenig Verifikation veröffentlichen kann. Sie können den Moderationsabschnitt in der OpenClaw-Dokumentation sehen Hier..
Die Vorfälle rund um OpenClaw und ClawHub haben auch eine breitere Debatte über die Sicherheit von IA-Agenten, die lokale Befehle ausführen können, persistente Speicher speichern und mit externen Ressourcen kommunizieren wiedereröffnet. Palo Alto Networks veröffentlichte eine Analyse, die darauf hinwies, dass, wenn ein Agent Zugang zu privaten Daten hat, Inhalte ohne Integritätsgarantie konsumiert und mit dem Netzwerk interagieren kann, eine gefährliche Kombination entsteht, dass einige die "lethal trilogy" oder "lethal trifect" nennen - ein von dem Entwickler Simon Willison geprägter Begriff -, die diese Agenten besonders anfällig für anspruchsvolle Angriffe und "zeitversetzte" oder verzögerte Aktivierungsoperationen macht. Palo Altos Blog fasst zusammen, wie hartnäckiger Speicher Point Exploits in Bedrohungen umwandeln kann, die im Laufe der Zeit zusammengebaut und detoniert werden; Sie können diese Analyse auf der Website lesen Palo Alto Netzwerke und Simon Willisons Reflexion über die " Salatrifekt. "
Welche Lektionen lässt diese Episode? Erstens, dass das Vertrauen implizit in von Dritten veröffentlichte Module relativ einfach ausgenutzt werden kann. Zweitens, dass die Anweisungen zur Ausführung von Befehlen im Terminal sind eine klassische Weise für den Benutzer, den Job von "aktivieren" Malware von sich selbst durch Copy-Past zu tun. Und drittens, dass die Verbreitung von Agenten mit persistentem Speicher und Zugang zu lokalen Ressourcen erfordert strengere Kontrollmaßnahmen in Erweiterungs- und Qualifikationskatalogen.
Praktische Empfehlungen: führen Sie keine von unbekannten Seiten verklebten Skripte aus, überprüfen Sie sorgfältig alle erforderlichen Bestellungen zum Herunterladen oder Ausführen von Code, pflegen Backups und separate Umgebungen: wenn Sie einen 24 / 7 Assistenten ausführen, betrachten Sie isolierte Maschinen und Konten ohne sensible Informationen. Für Plattformmanager wie ClawHub schlägt die sehr geringe Veröffentlichungsreibung die Notwendigkeit einer automatisierteren und menschlichen Kontrolle sowie die Möglichkeit von verbindlichen Unterschriften und Bewertungen für Fähigkeiten vor, die sensible Genehmigungen verlangen.
Dieser Vorfall ist ein Weckruf: die Kombination von Neugier über neue IA-Tools, offene Plattformen und böswillige Schauspieler bereit, den Diebstahl von Anmeldeinformationen und Schlüsseln zu monetisieren, macht es unvermeidlich, dass wir ähnliche Versuche sehen, wenn mehr starre Verteidigungen nicht angenommen werden. Um die technische Forschung zu vertiefen, werden der Koi Security-Bericht und die OpenSourceMalware-Nachfolge empfohlen: Koi Sicherheit und OpenSourceMalware. Es ist auch nützlich, die Dokumentation von OpenClaw über die Moderation von ClawHub zu überprüfen Hier..
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...