Сканер безопасности навыков OpenClaw: 7,6% из 31 371 навыка помечены как опасные

✍️ OpenClawRadar📅 Опубликовано: 24 марта 2026 г.🔗 Source
Сканер безопасности навыков OpenClaw: 7,6% из 31 371 навыка помечены как опасные
Ad

Разработчик создал автоматизированный инструмент сканирования, который анализирует весь реестр навыков ClawHub на предмет угроз безопасности. Инструмент выполняет статический анализ каждого файла SKILL.md и связанных скриптов, проверяя наличие вредоносных паттернов, инъекций промптов, эксфильтрации данных, злоупотребления разрешениями и обфусцированного кода.

Ключевые выводы

Сканирование 31,371 навыков показало:

  • 2,371 навыков помечены как опасные (примерно 7.6%)
  • Средний показатель доверия по всему реестру: 93.2 из 100
  • Обнаруженные опасные паттерны включают похитители кошельков, кражу учетных данных, эксфильтрацию переменных окружения, curl с передачей в bash и инъекцию промптов

Как это работает

Сканер использует сопоставление паттернов с известными сигнатурами атак из отчетов ClawHavoc и Cisco. Он повторно сканирует весь реестр каждые 6 часов. Разработчик отмечает наличие ложных срабатываний, особенно с легитимными навыками для работы с кошельками, но инструмент обнаруживает очевидные угрозы, которые могут быть пропущены при ручной проверке.

Ad

Как использовать

Проверьте конкретный навык через API:

curl -s checksafe.dev/api/v1/skills/SKILL-NAME-HERE/badge.json

Для автоматической проверки перед каждой установкой используйте навык OpenClaw:

clawhub install agora-sentinel

Получите доступ к полной базе данных на checksafe.dev/dashboard/ и просмотрите самые опасные навыки, отсортированные по степени серьезности, на checksafe.dev/dashboard/dangerous.

Важные примечания

Инструмент выполняет только статический анализ и не может обнаружить все угрозы. Существуют ложные срабатывания, особенно с легитимными инструментами для кошельков. Разработчик не связан с OpenClaw или ClawHub — это побочный проект, а не компания. API является публичным и не требует аутентификации, бейджи можно встраивать.

📖 Read the full source: r/openclaw

Ad

👀 Смотрите также

Предотвращение участия ИИ-агентов в ботнетах: вопросы безопасности
Безопасность

Предотвращение участия ИИ-агентов в ботнетах: вопросы безопасности

Сообщество обсуждает защиту автономных ИИ-агентов от захвата и использования в вредоносных ботнетах.

OpenClaw Radar
Защитные механизмы ИИ-агентов со временем ослабляются без активного обслуживания.
Безопасность

Защитные механизмы ИИ-агентов со временем ослабляются без активного обслуживания.

Защитные механизмы ИИ-агентов со временем деградируют по мере накопления обновлений системных промптов, изменения версий моделей и добавления новых инструментов, что часто приводит к противоречивым или игнорируемым правилам безопасности, требующим регулярной проверки и тестирования.

OpenClawRadar
Плагин SupraWall MCP блокирует атаки внедрения промптов в локальных ИИ-агентах.
Безопасность

Плагин SupraWall MCP блокирует атаки внедрения промптов в локальных ИИ-агентах.

SupraWall — это плагин MCP, который перехватывает и блокирует попытки утечки конфиденциальных данных от ИИ-агентов, что было продемонстрировано в ходе испытания «красной командой», где он предотвратил утечку учетных данных через атаки внедрения промптов.

OpenClawRadar
Отчет OpenAI об угрозах за июнь 2026 года: ИИ-агенты используются для вредоносной деятельности
Безопасность

Отчет OpenAI об угрозах за июнь 2026 года: ИИ-агенты используются для вредоносной деятельности

Последний отчет OpenAI об угрозах показывает, как AI-агенты используются для дезинформации, фишинга и мошенничества, с конкретными данными об инцидентах и стратегиями смягчения последствий.

OpenClawRadar