SlowMist individua 341 skill malevole nell’hub di plugin OpenClaw

Un’importante allerta di sicurezza ha colpito l’ecosistema OpenClaw AI. La società di sicurezza blockchain SlowMist ha individuato un vasto attacco alla supply chain all’interno di ClawHub, il marketplace di plugin della piattaforma. Il problema è emerso dopo che Koi Security ha scansionato 2.857 skill, segnalando 341 di queste come malevole.

SlowMist reports supply chain poisoning in OpenClaw's ClawHub plugin center. Weak reviews allowed numerous malicious skills to infiltrate and spread harmful code. Koi Security scanned 2,857 skills, identifying 341 malicious. SlowMist analyzed >400 IOCs, revealing organized batch… pic.twitter.com/5Kwho8aXMQ

— Wu Blockchain (@WuBlockchain) February 9, 2026

Ciò significa che circa il 12% dei plugin analizzati conteneva codice dannoso. La scoperta ha sollevato preoccupazioni perché OpenClaw è cresciuta rapidamente negli ultimi mesi. I suoi strumenti open source per agenti hanno attirato molti sviluppatori. Allo stesso tempo, questa crescita ha reso la piattaforma un bersaglio più appetibile per gli attaccanti.

Revisioni deboli hanno favorito l’ingresso di skill malevole

L’attacco è stato possibile a causa di controlli di revisione insufficienti nello store dei plugin. Gli hacker hanno caricato skill che in apparenza sembravano normali. In realtà, il codice al loro interno conteneva istruzioni nascoste. SlowMist ha spiegato che molte di queste skill utilizzavano un attacco in due fasi. In primo luogo, il plugin includeva comandi offuscati. Spesso apparivano come normali passaggi di configurazione o di gestione delle dipendenze. In realtà, quei comandi decodificavano script nascosti.

Nella seconda fase veniva scaricato il payload malevolo vero e proprio. Il codice recuperava dati da domini o indirizzi IP fissi. Successivamente, eseguiva malware sul sistema della vittima. Un esempio riguardava una skill chiamata “X (Twitter) Trends”. Sembrava innocua e utile. Tuttavia, nascondeva una backdoor codificata in Base64. Il codice era in grado di rubare password, raccogliere file e inviarli a un server remoto.

Centinaia di plugin malevoli individuati

La portata dell’attacco ha sorpreso molti analisti. Su 2.857 skill scansionate, 341 hanno mostrato comportamenti malevoli. Koi Security ha collegato la maggior parte di esse a un’unica grande campagna. SlowMist ha inoltre analizzato oltre 400 indicatori di compromissione. I dati hanno evidenziato caricamenti organizzati in batch. Molti plugin utilizzavano gli stessi domini e la stessa infrastruttura.

I rischi erano significativi per gli utenti che eseguivano queste skill. Alcuni plugin richiedevano accesso alla shell o permessi sui file. Questo dava al malware l’opportunità di sottrarre credenziali, documenti e chiavi API. Alcune skill false imitavano persino strumenti crypto, utility per YouTube o helper di automazione. Nomi familiari che le rendevano più facili da installare senza destare sospetti.

Le società di sicurezza invitano alla cautela

I ricercatori di sicurezza hanno già avviato le prime operazioni di pulizia. SlowMist ha segnalato centinaia di elementi sospetti durante le scansioni iniziali. Nel frattempo, Koi Security ha rilasciato uno scanner gratuito per le skill di OpenClaw. Gli esperti avvertono ora gli utenti di evitare di eseguire ciecamente i comandi dei plugin. Molti attacchi partivano da semplici passaggi di configurazione all’interno dei file delle skill. È inoltre consigliato evitare skill che richiedono password o un accesso di sistema troppo ampio.

Anche gli sviluppatori sono invitati a testare i plugin in ambienti isolati. Scansioni indipendenti e fonti ufficiali dovrebbero rappresentare la prima linea di difesa. Questo episodio evidenzia i rischi presenti negli ecosistemi AI in rapida crescita. I marketplace di plugin si muovono spesso velocemente, ma i controlli di sicurezza possono restare indietro. Con l’aumento del potere degli agenti AI, queste piattaforme avranno bisogno di sistemi di revisione più solidi. Fino ad allora, gli utenti potrebbero dover trattare ogni plugin come una potenziale minaccia.