Экосистемы расширений для ИИ-ассистентов стремительно превращаются в новую точку входа для атакующих. На прошлой неделе исследователи кибербезопасности обнаружили сотни вредоносных навыков (skills) для опенсорсного ИИ-агента OpenClaw (ранее известного как Moltbot и ClawdBot). В ответ разработчики платформы объявили о партнерстве с VirusTotal и запуске автоматической проверки всех навыков, публикуемых в репозитории ClawHub.
Рост вредоносных навыков для OpenClaw: масштабы проблемы
По данным компании Koi Security, всего за несколько дней — с 27 января по 1 февраля — в ClawHub и на GitHub появилось более 230 вредоносных навыков для OpenClaw. Эти расширения маскировались под полезные инструменты и были ориентированы в первую очередь на кражу криптовалюты и финансовых активов пользователей.
Независимая команда OpenSourceMalware опубликовала собственный технический отчет по той же вредоносной кампании, подробно описав механизм работы малвари: злоумышленники использовали доверие к ИИ-агенту и его доступ к системным инструментам для выполнения несанкционированных действий и извлечения чувствительных данных.
Дополнительный анализ лаборатории Bitdefender Labs показал, что примерно 17% всех навыков OpenClaw, опубликованных и изученных в феврале 2026 года, являются вредоносными. Для экосистемы расширений это крайне высокий показатель, сопоставимый с уровнем зараженности среди непроверенных браузерных плагинов или пиратского ПО.
Интеграция OpenClaw с VirusTotal: как работает новая защита
Понимая, что навыки дают ИИ-агенту доступ к управлению умным домом, финансами, мессенджерами и другим критичным сервисам, разработчики OpenClaw внедрили автоматическое сканирование через VirusTotal, включая функцию Code Insight. Это позволяет комплексно анализировать код перед его публикацией в ClawHub.
Автоматическое сканирование навыков и Code Insight
Новый механизм проверки реализован по следующей схеме:
1. Для каждого загружаемого навыка вычисляется уникальный SHA‑256-хеш, который сверяется с базой VirusTotal. Если хеш уже известен и помечен как вредоносный, навык блокируется сразу.
2. Если совпадений не найдено, пакет передается в глубокий анализ Code Insight. Этот модуль оценивает поведение и логику кода, выявляя признаки малвари, скрытых бэкдоров и подозрительных обращений к ресурсам.
3. Навыки с вердиктом «benign» (безопасный) автоматически одобряются для размещения в ClawHub. Для подозрительных расширений выводится специальное предупреждение, но они остаются доступными для установки — решение принимается пользователем. Если же навык классифицирован как вредоносный, он блокируется и не публикуется в каталоге.
Дополнительно все уже активные навыки в ClawHub будут ежедневно пересканироваться. Это важно, так как злоумышленники могут менять код или использовать отложенные механизмы активации вредоносного функционала.
Система жалоб и модерация со стороны сообщества
До полноценной интеграции с VirusTotal в ClawHub уже была введена временная защитная мера — система пользовательских жалоб. Авторизованные пользователи могут помечать навыки как подозрительные, при этом на одного аккаунта действует лимит до 20 активных жалоб.
Если навык получает более трех уникальных жалоб, он автоматически скрывается по умолчанию, снижая риск случайной установки неподготовленными пользователями. Такой подход сочетает автоматическое сканирование и краудсорсинговую модерацию, что особенно эффективно для быстрорастущих опенсорс-платформ.
Ограничения подхода и оставшиеся риски для пользователей
Разработчики OpenClaw подчеркивают, что интеграция с VirusTotal — это важный шаг, но не универсальное решение. Часть вредоносных навыков может использовать хитро замаскированные prompt-инъекции и другие логические атаки на модель, которые не всегда очевидны для классических антивирусных и статических анализаторов.
Особую опасность представляет сценарий, когда OpenClaw разворачивается на корпоративных рабочих станциях без ведома ИТ и ИБ-подразделений. В таком случае ИИ-агент получает доступ к внутренним системам и данным компании, а загружаемые навыки фактически становятся новым каналом supply-chain-атак через доверенную платформу.
Для организаций это означает необходимость рассматривать навыки ИИ-ассистентов так же строго, как исполняемые файлы, макросы и браузерные расширения: применять контроль источников, проводить ревью кода, ограничивать права и изолировать среду выполнения.
Планы по развитию модели угроз и прозрачности безопасности
Помимо интеграции с VirusTotal, команда OpenClaw заявила о намерении усилить проактивную безопасность платформы. В ближайших планах:
• публикация полноценной модели угроз для OpenClaw и его экосистемы навыков;
• выпуск открытой дорожной карты по безопасности с приоритетами и сроками внедрения мер защиты;
• создание формализованного процесса ответственного раскрытия уязвимостей (vulnerability disclosure);
• представление результатов аудита всей кодовой базы проекта независимыми экспертами.
Такая прозрачность важна как для разработчиков навыков, так и для компаний, рассматривающих OpenClaw в качестве компонента своей ИИ-инфраструктуры. Понимание модели угроз и процессов реагирования позволяет выстраивать собственные компенсирующие меры и интегрировать OpenClaw в существующую систему управления рисками.
Ситуация вокруг вредоносных навыков OpenClaw демонстрирует, что экосистемы ИИ-агентов уже стали полноценной целью для киберпреступников. Автоматическая проверка через VirusTotal, ежедневное сканирование и участие сообщества — важные шаги, но пользователям и организациям нельзя полагаться только на них. Стоит внедрять политики контроля расширений, ограничивать доступ ИИ-агентов к критичным ресурсам, регулярно пересматривать перечень установленных навыков и отслеживать обновления по безопасности платформы. Чем раньше такие практики станут стандартом, тем ниже будет риск столкнуться с кражей данных, финансовых активов или компрометацией инфраструктуры через, на первый взгляд, безобидный навык ИИ.
