Екосистеми розширень для ІІ-асистентів стрімко перетворюються на повноцінний вектор атак. Нещодавня хвиля шкідливих «навыків» (skills) для опенсорс-агента OpenClaw показала, наскільки вразливими можуть бути платформи, де ІІ має доступ до фінансів, «розумного» дому чи корпоративних систем. У відповідь команда OpenClaw оголосила про інтеграцію з VirusTotal і запуск автоматичного сканування всіх розширень у репозиторії ClawHub.
Масштаб шкідливих навичок OpenClaw: статистика та цілі атак
За даними Koi Security, лише за період з 27 січня по 1 лютого в ClawHub та на GitHub було виявлено понад 230 шкідливих навичок для OpenClaw. Більшість із них маскувалися під легітимні утиліти, але фактично були орієнтовані на крадіжку криптовалютних активів та інших фінансових даних користувачів.
Команда OpenSourceMalware опублікувала технічний розбір цієї кампанії: зловмисники експлуатували довіру до ІІ-агента та його інтеграції з системними інструментами. Навички використовувалися як «посередник» для виконання несанкціонованих операцій, ексфільтрації чутливих даних і обходу традиційних засобів захисту, які не сприймають ІІ-агента як шкідливе ПЗ.
Додатковий аналіз Bitdefender Labs показав, що близько 17% навичок OpenClaw, опублікованих і вивчених у лютому 2026 року, мають ознаки шкідливості. Для будь-якої екосистеми розширень це вкрай високий рівень, порівнюваний із неперевіреними браузерними плагінами чи піратським софтом.
Як працює інтеграція OpenClaw з VirusTotal і Code Insight
Розробники OpenClaw усвідомлюють, що навички надають ІІ-агенту доступ до керування «розумним» будинком, гаманцями, месенджерами та бізнес-сервісами. Тому було впроваджено автоматичне сканування навичок через VirusTotal із використанням модуля Code Insight для аналізу коду до публікації в ClawHub.
Схема перевірки: від SHA‑256 до поведінкового аналізу
Механізм захисту побудований у кілька етапів. По-перше, для кожного завантаженого пакета обчислюється SHA‑256-хеш, який звіряється з базою даних VirusTotal. Якщо хеш уже відомий як шкідливий, навичка автоматично блокується й не потрапляє до каталогу.
Якщо збігів не знайдено, код передається в глибинний аналіз Code Insight. Цей модуль оцінює логіку роботи, звернення до зовнішніх ресурсів, наявність бекдорів, спроб обходу обмежень чи несанкціонованого доступу до конфіденційних даних. Результат класифікується як benign (безпечний), підозрілий або шкідливий.
Безпечні навички автоматично публікуються в ClawHub. Для підозрілих розширень система відображає попередження, залишаючи остаточне рішення за користувачем. Якщо ж Code Insight визначає навичку як шкідливу, її публікація блокується.
Крім того, усі вже доступні в каталозі навички підлягають щоденному повторному скануванню. Це критично важливо, оскільки зловмисники можуть вносити приховані зміни до коду або використовувати відкладену активацію шкідливого функціоналу.
Краудсорсинг безпеки: система скарг спільноти
Ще до повноцінної інтеграції з VirusTotal у ClawHub запрацювала система користувацьких скарг. Авторизовані користувачі можуть позначати навички як підозрілі; на один акаунт діє ліміт до 20 активних репортів, що знижує ризик зловживань.
Якщо навичка отримує понад три унікальні скарги, вона автоматично ховається за замовчуванням і не пропонується користувачам як рекомендована. Такий гібридний підхід — поєднання автоматичного сканування і краудсорсингової модерації — є ефективною стратегією для швидкозростаючих опенсорс-проєктів.
Обмеження підходу: prompt-інʼєкції та ризики для бізнесу
Попри важливість інтеграції з VirusTotal, цей механізм не закриває всі вектори атак. Частина шкідливих навичок може покладатися на складно виявлювані prompt-інʼєкції та інші логічні маніпуляції з моделлю, які погано піддаються класичному антивірусному чи статичному аналізу.
Особливо небезпечним є сценарій, коли OpenClaw встановлюється на корпоративні робочі станції без відома ІТ- і ІБ-підрозділів. У такому разі ІІ-агент отримує доступ до внутрішніх ресурсів, а навички перетворюються на новий канал supply-chain-атак через довірену платформу. Для організацій це означає, що розширення ІІ-асистентів мають розглядатися так само строго, як виконувані файли, макроси чи браузерні плагіни.
Модель загроз, аудит і прозорість безпеки OpenClaw
Команда OpenClaw заявляє про плани посилити проактивну безпеку платформи. Серед анонсованих кроків — публікація формалізованої моделі загроз для OpenClaw і екосистеми навичок, випуск відкритої дорожньої карти з безпеки з чіткими пріоритетами, запровадження процесу відповідального розкриття вразливостей та проведення незалежного аудиту всієї кодової бази.
Для користувачів і компаній ця прозорість дає можливість краще розуміти ризики, будувати власні компенсуючі контролі та інтегрувати OpenClaw у вже наявні процеси управління кіберризиками. Водночас покладатися виключно на VirusTotal і модерацію спільноти небезпечно. Рекомендується запроваджувати політики контролю розширень, обмежувати права ІІ-агентів, сегментувати доступ до критичних систем, регулярно переглядати список установлених навичок і відстежувати оновлення з безпеки платформи. Чим раніше такі практики стануть стандартом, тим менша ймовірність, що, на перший погляд, корисний навик ІІ призведе до втрати даних, фінансових збитків чи компрометації інфраструктури.
