Сотни навыков для ИИ-агента OpenClaw (ранее Clawdbot) оказались заражёнными вредоносным ПО.
VirusTotal описал проблему в свежей записи блога. OpenClaw представляет собой локальный ИИ-агент, который запускается прямо на компьютере пользователя и выполняет настоящие операции: запускает команды shell, управляет файлами или осуществляет сетевые запросы. Функционал расширяется за счёт установки навыков, созданных сообществом.
Анализ VirusTotal показал, что злоумышленники прятали трояны и программы для кражи данных в навыках на платформе ClawHub, выдавая их за полезные дополнения. Сами навыки выглядели безобидно, но побуждали агента загружать и запускать внешние вредоносные файлы, в том числе известный троян Atomic Stealer для macOS. Один аккаунт разместил более 300 подобных заражённых навыков.
OpenClaw начал проверять все навыки через партнёрство с VirusTotal
Основатель OpenClaw Питер Стейнбергер объявил о сотрудничестве с VirusTotal в ответ на инцидент. Теперь каждый навык на ClawHub проходит автоматическую проверку с использованием функции "Code Insight" от VirusTotal (на базе модели Google Gemini) и дополнительных инструментов. Система оценивает действия навыка с позиции безопасности: проверяет загрузку внешних файлов, доступ к конфиденциальным данным или принуждение агента к рискованным операциям.
Навыки без угроз одобряются сразу, подозрительные получают метку предупреждения, а явно вредоносные блокируются мгновенно. Кроме того, все существующие навыки пересканируются ежедневно.
Случай демонстрирует, насколько ИИ-агенты уязвимы перед угрозами. Модели языка опираются на вероятности и разбирают естественный язык, что создаёт множество точек входа для атак. OpenClaw служит оболочкой для агентных ИИ-моделей вроде Claude Opus или GPT-5.2 и раньше сталкивался с отчётами о крупных проблемах безопасности.
Пока эффективной защиты от подобных атак нет. Реальный контрмерой остаётся изоляция моделей в строго контролируемых условиях — прямо противоположно концепции OpenClaw.
Сотрудничество с VirusTotal уменьшает опасности, но не устраняет базовую проблему. Софт не распознаёт целенаправленные атаки на естественном языке, известные как инъекции промптов, — самую серьёзную брешь в сегодняшних ИИ-моделях. Стейнберг прямо признаёт ограничения: "Security is defense in depth. This is one layer. More are coming."
При этом он даёт более амбициозные заверения: "AI agents that take real-world actions deserve real security processes. We're building them. […] We're committed to making OpenClaw the most secure AI agent platform available." Компания привлекла Джемисона О’Рейли, основателя Dvuln, как старшего консультанта по безопасности.