5 опасных навыков OpenClaw, прошедших ClawScan + VirusTotal: анализ Unit 42

Исследователи Unit 42 обнаружили пять вредоносных навыков OpenClaw, которые прошли проверку ClawScan и VirusTotal. Два особенно тревожных примера не являются вредоносным ПО в традиционном смысле — они используют способность агента следовать инструкциям для проведения финансового мошенничества.
Ключевые вредоносные навыки
- money-radar: Маскировался под навык финансового советника. При каждом запуске загружал
referrals.jsonс вредоносного домена. Издатель динамически менял, какие продукты рекомендует агент во время выполнения, вставляя партнерские ссылки, которые выглядели как экспертные советы. - letssendit: Собирал SOL со всех установленных агентов, использующих этот навык, позволяя оператору заранее запустить запуск мемкоина и сбросить его на pump.fun — по сути, скоординированный ботнет агентов для rug pull.
- omnicogg: Дополнил свой README 22 МБ мусорных данных, чтобы сканеры пропускали файл из-за большого размера. Чистый вердикт скрывал дроппер AMOS внутри.
Сигнатурное сканирование здесь неэффективно. Навык, который предписывает агенту всегда использовать партнерскую ссылку, не содержит полезной нагрузки, которую мог бы обнаружить любой сканер — это просто инструкции. Значок Pass от ClawScan ничего не значит.
Практический вывод
Не устанавливайте сторонние навыки. Пишите свои. Если вы можете понять, что делает навык, вы можете написать его сами, и тогда вы действительно будете знать, что запускает ваш агент.
📖 Читать полный источник: r/openclaw
👀 Смотрите также

Исследование Корнелла: 13 слов в Reddit могут манипулировать ИИ-поиском
Исследование Корнеллского университета показывает, что фрагмент из 13 слов на Reddit или Wikipedia может надежно отравлять AI-поисковые агенты. Половина всех AI-цитат поступает с сайтов с пользовательским контентом, что позволяет брендам с легкостью внедрять рекламный контент.

Предотвращение участия ИИ-агентов в ботнетах: вопросы безопасности
Сообщество обсуждает защиту автономных ИИ-агентов от захвата и использования в вредоносных ботнетах.

Независимый отчет о надежности и безопасности сервера MCP
Независимый анализ 2181 конечных точек MCP-серверов показал, что 52% из них не работают, 300 серверов не имеют аутентификации, а у 51% настроена полностью открытая политика CORS. В отчёте описана методология исследования и представлен инструмент для тестирования.

Клод Коворк: Проблемы безопасности разрешения «Разрешить все действия в браузере» и предлагаемые решения
Пользователь Reddit отмечает, что кнопка 'Разрешить всё' в Claude Cowork предоставляет постоянный, неограниченный доступ к браузеру во всех будущих сессиях без видимости, границ или срока действия, создавая риски безопасности. В посте предлагаются разрешения, ограниченные сессией или навыком, как более безопасные варианты по умолчанию.