SlowMist обнаружил 341 вредоносный навык в OpenClaw Plugin Hub

Крупное предупреждение о безопасности ударило по экосистеме OpenClaw AI. Компания по блокчейн-безопасности SlowMist обнаружила масштабную атаку на цепочку поставок внутри ClawHub — маркетплейса плагинов платформы. Проблема вскрылась после того, как Koi Security просканировала 2 857 навыков и пометила 341 из них как вредоносные.

SlowMist reports supply chain poisoning in OpenClaw's ClawHub plugin center. Weak reviews allowed numerous malicious skills to infiltrate and spread harmful code. Koi Security scanned 2,857 skills, identifying 341 malicious. SlowMist analyzed >400 IOCs, revealing organized batch… pic.twitter.com/5Kwho8aXMQ

— Wu Blockchain (@WuBlockchain) February 9, 2026

Это означает, что около 12% проверенных плагинов содержали вредоносный код. Обнаружение вызвало обеспокоенность, поскольку OpenClaw в последние месяцы быстро рос. Его open-source инструменты для агентных ИИ привлекли множество разработчиков, но одновременно сделали платформу более привлекательной целью для атак.

Слабая модерация позволила вредоносным навыкам пройти проверку

Атака стала возможной из-за слабых проверок в магазине плагинов. Злоумышленники загружали навыки, которые на первый взгляд выглядели обычными. Однако внутри кода скрывались вредоносные инструкции. По данным SlowMist, многие из этих навыков использовали двухэтапную схему атаки. На первом этапе плагин содержал обфусцированные команды. Чаще всего они выглядели как стандартные шаги установки или загрузки зависимостей. На деле же эти команды тайно декодировали скрытые скрипты.

На втором этапе загружался основной вредоносный payload. Код подтягивал данные с фиксированных доменов или IP-адресов, после чего запускал вредоносное ПО в системе жертвы. Один из примеров — навык под названием «X (Twitter) Trends». Он выглядел безобидным и полезным, но на самом деле скрывал бэкдор, закодированный в Base64. Этот код мог похищать пароли, собирать файлы и отправлять их на удалённый сервер.

Обнаружены сотни вредоносных плагинов

Масштаб атаки удивил многих аналитиков. Из 2 857 просканированных навыков 341 демонстрировал вредоносное поведение. Koi Security связала большинство из них с одной крупной кампанией. SlowMist, в свою очередь, проанализировала более 400 индикаторов компрометации. Данные указывают на организованные пакетные загрузки. Многие плагины использовали одни и те же домены и инфраструктуру.

Риски для пользователей, запускавших эти навыки, были серьёзными. Некоторые плагины запрашивали доступ к shell или файловой системе. Это давало вредоносному коду возможность красть учётные данные, документы и API-ключи. Часть фальшивых навыков маскировалась под криптоинструменты, утилиты для YouTube или помощники автоматизации. Знакомые названия облегчали их установку без лишних подозрений.

Компании по кибербезопасности призывают к осторожности

Исследователи в области безопасности уже начали работы по очистке экосистемы. SlowMist сообщила о сотнях подозрительных объектов на раннем этапе проверки. Параллельно Koi Security выпустила бесплатный сканер для навыков OpenClaw. Эксперты предупреждают пользователей не запускать команды плагинов вслепую. Многие атаки начинались с обычных шагов установки внутри файлов навыков. Также рекомендуется избегать навыков, которые запрашивают пароли или широкий доступ к системе.

Разработчикам советуют тестировать плагины в изолированных средах. Независимые проверки и официальные источники должны стать первой линией защиты. Этот инцидент наглядно показывает риски, присущие быстрорастущим ИИ-экосистемам. Маркетплейсы плагинов развиваются стремительно, но системы безопасности часто не успевают за ростом. По мере того как ИИ-агенты получают всё больше возможностей, таким платформам потребуются более жёсткие механизмы проверки. До тех пор пользователям, вероятно, придётся относиться к каждому плагину как к потенциальной угрозе.