SlowMist finner 341 ondsinnede «skills» i OpenClaw Plugin Hub

En alvorlig sikkerhetsadvarsel har rammet OpenClaw sitt AI-økosystem. Blockchain-sikkerhetsselskapet SlowMist har avdekket et omfattende leverandørkjedeangrep i ClawHub, plattformens markedsplass for plugins. Problemet kom for dagen etter at Koi Security skannet 2.857 skills og flagget 341 av dem som ondsinnede.

SlowMist reports supply chain poisoning in OpenClaw's ClawHub plugin center. Weak reviews allowed numerous malicious skills to infiltrate and spread harmful code. Koi Security scanned 2,857 skills, identifying 341 malicious. SlowMist analyzed >400 IOCs, revealing organized batch… pic.twitter.com/5Kwho8aXMQ

— Wu Blockchain (@WuBlockchain) February 9, 2026

Det betyr at rundt 12 prosent av de skannede pluginene inneholdt skadelig kode. Funnet skapte bekymring fordi OpenClaw har vokst raskt de siste månedene. De åpne agentverktøyene i open source har tiltrukket mange utviklere. Samtidig har det gjort plattformen til et større mål for angripere.

Svake kontroller slapp ondsinnede «skills» gjennom

Angrepet lyktes på grunn av svake kontrollrutiner i plugin-butikken. Hackere lastet opp skills som på overflaten fremsto som normale. Koden inneholdt imidlertid skjulte instruksjoner. SlowMist opplyser at mange av disse skillene brukte et totrinnsangrep. Først inneholdt pluginen obfuskerte kommandoer. Disse så ofte ut som vanlige oppsett- eller avhengighetssteg. I realiteten dekodet kommandoene skjulte skript.

Deretter lastet den andre fasen ned den faktiske ondsinnede lasten. Koden hentet data fra faste domener eller IP-adresser. Etterpå kjørte den skadevare på offerets system. Ett eksempel gjaldt en skill kalt «X (Twitter) Trends». Den virket harmløs og nyttig. I realiteten skjulte den en Base64-kodet bakdør. Koden kunne stjele passord, samle inn filer og sende dem til en ekstern server.

Hundrevis av ondsinnede plugins avdekket

Omfanget av angrepet overrasket mange analytikere. Av de 2.857 skannede skillene viste 341 ondsinnet oppførsel. Koi Security knyttet de fleste til én stor kampanje. SlowMist analyserte også mer enn 400 kompromitteringsindikatorer. Dataene viste organiserte masseopplastinger. Mange plugins brukte de samme domenene og den samme infrastrukturen.

Risikoen var alvorlig for brukere som kjørte disse skillene. Enkelte plugins ba om shell-tilgang eller filrettigheter. Det ga skadevaren mulighet til å stjele legitimasjon, dokumenter og API-nøkler. Noen falske skills etterlignet til og med kryptoverktøy, YouTube-verktøy eller automatiseringshjelpere. Disse kjente navnene gjorde dem enklere å installere uten mistanke.

Sikkerhetsselskaper ber om varsomhet

Sikkerhetsforskere har allerede startet oppryddingsarbeid. SlowMist rapporterte hundrevis av mistenkelige elementer under tidlige gjennomganger. Samtidig har Koi Security lansert en gratis skanner for OpenClaw-skills. Eksperter advarer nå brukere mot å kjøre plugin-kommandoer ukritisk. Mange angrep startet med enkle oppsettsteg inne i skill-filer. Brukere bør også styre unna skills som ber om passord eller vid systemtilgang.

Utviklere oppfordres også til å teste plugins i isolerte miljøer. Uavhengige skanninger og offisielle kilder bør være første forsvarslinje. Hendelsen viser risikoen i raskt voksende AI-økosystemer. Plugin-markedsplasser beveger seg ofte raskt, men sikkerhetskontroller kan henge etter. Etter hvert som AI-agenter får mer makt, vil disse plattformene trenge sterkere gjennomgangssystemer. Inntil videre kan brukere bli nødt til å behandle hver plugin som en potensiell trussel.