Claw Hub и Hugging Face атакованы 575 вредоносными пакетами навыков

Согласно новому отчету в r/openclaw, оба сайта — Claw Hub и Hugging Face — были взломаны. В результате атаки на две платформы было загружено 575 вредоносных пакетов навыков. Пользователь в исходном твите сообщает: «Очевидно, оба сайта взломаны, и на них находится 575 вредоносных навыков. Будьте осторожны с тем, что оттуда используете».
Вредоносные навыки могут выполнять произвольные команды, похищать переменные окружения (например, ключи API или токены) или изменять локальные файлы в рабочей области Claw-агента. Учитывая, что Claw-агенты часто работают с повышенными привилегиями для выполнения shell-команд или доступа к облачным учетным данным, последствия могут быть серьезными.
В исходной ветке не уточняется, была ли атака связана с уязвимостями в цепочке поставок (например, скомпрометированные аккаунты мейнтейнеров) или с прямыми уязвимостями платформы. Однако этот инцидент напоминает предыдущие атаки на цепочки поставок пакетов в PyPI и npm. Точные идентификаторы навыков или имена пакетов пока не раскрыты.
Разработчикам, использующим Claw Hub или реестр навыков Hugging Face, следует немедленно провести аудит установленных навыков. Ключевые действия включают:
- Вывести список всех установленных навыков с помощью
claw skills list - Проверить исходный код навыков на подозрительные сетевые вызовы,
os.system,execили base64-строки. - Закрепить версии навыков и включить проверку кода для любых навыков, используемых в производстве.
- Рассмотреть возможность запуска Claw-агентов в изолированных средах (например, Docker-контейнерах) с минимальными правами на сеть и файловую систему.
На данный момент ни Claw, ни Hugging Face не опубликовали официальных предупреждений. Сообщество отслеживает ситуацию в исходной ветке Reddit. Это критическое событие в области безопасности для всех, кто полагается на ИИ-агентов кодирования, загружающих внешние навыки.
📖 Read the full source: r/openclaw
👀 Смотрите также

Безопасный поток утверждения администратором для групповых чат-ассистентов от инъекций подсказок
Практический подход к защите LLM-ассистентов в общих групповых чатах: приостановка VM, OAuth и инструментов выполнения кода до подтверждения администратором по временной ссылке.

jqwik v1.10.0 позволяет скрытое внедрение запросов, которое удаляет код при использовании AI-агентами
Йоханнес Линк добавил скрытую инструкцию в jqwik v1.10.0, которая сообщает ИИ-агентам по кодингу удалить все тесты и код jqwik, скрытую с помощью ANSI-символов. Claude правильно её обнаруживает, но пользователи-люди могут быть не так удачливы.

Обезноженный: Расширенный.Scanner для вредоносных программ, управляемый сообществом, для файлов SKILL.md ClawHub.
Declawed — это инструмент безопасности для сканирования файлов SKILL.md на ClawHub, обнаружения инъекций в подсказках, вредоносного контента и кражи информации с использованием правил, разработанных сообществом.

FORGE: Фреймворк с открытым исходным кодом для тестирования безопасности ИИ-систем на основе LLM
FORGE — это автономный фреймворк для тестирования безопасности ИИ, который создаёт собственные инструменты в процессе работы, самовоспроизводится в рой и охватывает уязвимости из OWASP LLM Top 10, включая инъекцию промптов, фаззинг джейлбрейков и утечку данных из RAG.