Malware в community skills OpenClaw — предупреждение о краже криптовалюты

Крупный скандал разразился на Reddit: в репозитории community skills Clawdbot/OpenClaw обнаружены вредоносные скрипты, крадущие криптовалюту. Пост на r/webdev набрал 2784 апвота.

Что произошло

• Вредоносные skills найдены в официальном репозитории community skills
• Скрипты разработаны для кражи криптовалюты
• Создатель проекта знал о проблеме, но "не знал, что делать"

Детальный анализ

https://opensourcemalware.com/blog/clawdbot-skills-ganked-your-crypto

Реакция сообщества

r/webdev (2784 апвотов):

• Критика подхода "vibe coding"
• Обсуждение ответственности мейнтейнеров
• Вопросы о безопасности AI-агентов

r/theprimeagen (970 апвотов):

• "Senior Vibe Coder разбирается с безопасностью"

r/ProgrammerHumor (1360 апвотов):

• "seniorVibeCoderDealingWithVulnerabilityAsAService"

Суть проблемы

AI-агенты имеют доступ к:

• Файловой системе
• Сети
• API ключам
• Потенциально к крипто-кошелькам

Вредоносный skill может:

• Читать приватные ключи
• Отправлять данные на внешние серверы
• Выполнять произвольный код

Уроки для пользователей

1. Аудит каждого skill перед установкой
2. Изоляция окружения — никогда на основной машине
3. Никаких крипто-ключей на машине с агентом
4. Мониторинг сети
5. Code review community контрибуций

Реакция разработчика

После скандала:

• Улучшенная модерация репозитория
• Требования к code review
• Предупреждения в документации

---

Безопасность — ответственность каждого.