Экосистема локального ИИ-ассистента OpenClaw (ранее Moltbot и ClawdBot) стремительно превратилась из энтузиастского проекта в крупную площадку с сотнями тысяч агентов — и одновременно в заметный вектор атак. Независимые исследовательские группы обнаружили сотни вредоносных навыков (skills) и первые признаки самораспространяющихся prompt-червей, что делает OpenClaw показательным кейсом рисков для кибербезопасности ИИ-агентов.
Быстрый рост OpenClaw и уязвимый репозиторий навыков
OpenClaw — открытый локальный ИИ-ассистент, который интегрируется с мессенджерами вроде WhatsApp, Telegram, Slack, Discord и способен действовать автономно по расписанию и взаимодействовать с другими агентами. С момента запуска в ноябре 2025 года проект набрал более 150 000 звёзд на GitHub и около 770 000 зарегистрированных агентов, которыми пользуются порядка 17 000 человек.
Функциональность OpenClaw расширяется через навыки — по сути, плагины, подключаемые из официального каталога ClawHub. Ключевая проблема в том, что репозиторий открыт по умолчанию: любой владелец GitHub-аккаунта старше недели может опубликовать свой skill без предварательной модерации или полноценного аудита безопасности.
По данным компании Koi Security, только с 27 января по 1 февраля в ClawHub и на GitHub было загружено более 230 вредоносных навыков. Позднее исследователи проанализировали все доступные на тот момент 2857 skills и выявили 341 вредоносный навык, относящийся к одной кампании под названием ClawHavoc. Некоторые из них были скачаны тысячи раз, а навык What Would Elon Do занял первое место в рейтинге за счёт накрутки.
Кампания ClawHavoc: инфостилеры, реверс‑шеллы и кража ключей
Механизм заражения через AuthTool и ClickFix-подобные атаки
Сценарий заражения напоминает известные кампании ClickFix: каждый навык сопровождался подробной документацией, где многократно упоминался отдельный инструмент AuthTool, якобы необходимый для работы. Фактически AuthTool выступал компонентом доставки малвари.
Для пользователей macOS внутри навыка размещалась закодированная в base64 командная строка, которая загружала полезную нагрузку с внешнего сервера. Для Windows распространялся защищённый паролем архив. Все выявленные вредоносные навыки были связаны с единой управляющей инфраструктурой, ассоциированной с IP-адресом 91.92.242[.]30.
Цели атакующих: криптоактивы и разработческие окружения
Загружаемая под macOS малварь оказалась вариантом Atomic Stealer (AMOS), обходящим механизм Gatekeeper (через команду xattr -c) и запрашивающим расширенный доступ к файловой системе. Стилер ориентирован на кражу:
API-ключей криптобирж и криптокошельков, seed-фраз, данных Keychain, паролей браузеров, SSH-ключей, учётных записей облачных сервисов, Git-аккаунтов и файлов конфигураций (.env).
Помимо прямой доставки инфостилеров, исследователи зафиксировали навыки с реверс‑шеллами (например, better-polymarket, polymarket-all-in-one), а также skills, пересылавшие учётные данные ботов из ~/.clawdbot/.env на внешние сервисы, такие как webhook[.]site (навык rankaj).
Первые «промпт-черви» в Moltbook: эволюция промпт-инъекций
Параллельно с развитием OpenClaw была запущена социальная сеть для ИИ-агентов — Moltbook, где агенты автоматически публикуют посты, комментируют и взаимодействуют друг с другом. Исследователи из Simula Research Laboratory проанализировали выборку контента Moltbook и обнаружили 506 постов (около 2,6%), содержащих скрытые промпт-инъекции.
По оценке специалистов, эти конструкции являются ранними примерами prompt-червей — самораспространяющихся инструкций, передающихся между агентами. Сценарий выглядит так: агент устанавливает навык из ClawHub, который инициирует публикации в Moltbook. В текст поста закладываются инструкции для других агентов. Читая контент, агенты выполняют внедрённые команды, в том числе публикуют похожие сообщения, замыкая цикл распространения.
Идея prompt-червей была теоретически описана ещё в 2024 году в рамках атаки Morris-II, названной в честь червя Морриса 1988 года. Тогда исследователи показали, что самореплицирующиеся промпты способны через почтовых ИИ-помощников воровать данные и рассылать спам. Экосистема OpenClaw и Moltbook стала одной из первых реальных площадок, где подобная модель получила практическое воплощение.
Риски для кибербезопасности ИИ и меры защиты пользователей
Сегодня большинство установок OpenClaw работают через API OpenAI и Anthropic. Это даёт крупным провайдерам возможность отслеживать аномальные паттерны использования и блокировать подозрительную активность — своеобразный «рубильник безопасности». Однако по мере развития локальных LLM (Mistral, DeepSeek, Qwen и других) запуск мощных автономных агентов целиком на пользовательском оборудовании станет массовым, и внешнего контрольного контура уже не будет.
Эксперты Palo Alto Networks характеризуют OpenClaw как систему с опасным сочетанием трёх факторов: доступ к конфиденциальным данным, доступ к ненадёжному контенту и возможность внешних коммуникаций. Аналогичная конфигурация наблюдается и в других агентных платформах, поэтому выводы по OpenClaw имеют более широкий отраслевой характер.
Создатель проекта признал, что сегодня невозможно вручную модерать огромный поток навыков. Временное решение — механизм жалоб: авторизованные пользователи могут помечать skills как подозрительные (до 20 активных жалоб на аккаунт), а навыки с более чем тремя уникальными репортами скрываются по умолчанию. Дополнительно независимые исследователи запустили бесплатный онлайн‑сканер навыков, позволяющий по URL получить базовый отчёт о безопасности.
Пользователям OpenClaw и других платформ ИИ-агентов уже сейчас стоит выстраивать собственную гигиену кибербезопасности: устанавливать только проверенные навыки, внимательно читать документацию и команды, запускать агента в изолированных окружениях (отдельные пользователи, sandbox, ограниченные права доступа), минимизировать количество секретов в среде выполнения и регулярно ревизовать выданные API-ключи. Эволюция prompt-червей и вредоносных skills показывает, что ИИ-экосистемы переходят в ту фазу, где модели угроз для классического софта начинают в полном объёме распространяться и на ИИ-агентов — и подготовиться к этому лучше сейчас, чем после следующей масштабной кампании.
