Аудит крупнейшего каталога расширений ClawHub для ИИ-ассистента OpenClaw выявил внушительную кампанию злоумышленников, которые через модули распространяли шпионское ПО и похищали данные пользователей. Эта история показывает, насколько уязвимы открытые экосистемы модулей и расширений, если в них нет строжайшей модерации.
Что случилось
ClawHub - это публичный маркетплейс модулей ("скиллов") для OpenClaw, популярного self-hosted ИИ-помощника (раньше он назывался Clawdbot и Moltbot). Эти скиллы расширяют функциональность ассистента, добавляя новые инструменты и автоматизации.
Аналитики из компании Koi Security проверили 2857 расширений и нашли 341 вредоносный скилл, распределённых по нескольким злонамеренным кампаниям. Это не просто незаметные баги, это настоящие supply chain-атаки через официальный каталог.
Как происходило заражение
Большинство обнаруженных угроз объединены в кампанию под кодовым именем ClawHavoc. Злоумышленники создавали скиллы с профессионально оформленной документацией, которые выглядели как полезные инструменты: трекеры криптовалютных кошельков, утилиты для YouTube, финансовые анализаторы и интеграции с Google Workspace.
Под видом требований по установке пользователям предлагалось сначала загрузить дополнительный файл или выполнить команду в терминале. На Windows это был скачиваемый архив с трояном-кейлоггером, а на macOS обфусцированный скрипт, который загружал и запускал следующий этап вредоносного кода с сервера злоумышленников.
Именно на macOS активно распространялся Atomic Stealer (AMOS) - коммерческий инфостилер, который за подписку от $500 до $1000 может похищать ключи API, пароли, личные данные и данные кошельков.
Маскировка и тактики злоумышленников
Атака включала несколько трюков социальной инженерии:
Регистрация множества опечаточных доменов и имён пакетов (например, clawhubb, clawhubcli, cllawhub) для обмана невнимательных пользователей.
Маскировка под востребованные инструменты (трекеры Solana, инструменты для Polymarket, YouTube-утилиты, авто-обновления, финансовые парсеры).
Внедрение скрытых бэкдоров и загрузку команд-исполнителей на стороне атакующих.
Некоторые модули даже отправляли учётные данные самого OpenClaw-бота (например, содержимое ~/.clawdbot/.env) на внешние сервисы.
Почему это возможно
ClawHub, в отличие от магазина приложений с редакцией, практически свободен: любой разработчик с аккаунтом GitHub старше одной недели может публиковать скиллы. Отсутствие проверки кода и автоматической модерации дали злоумышленникам пространство для развертывания масштабной кампании.
Разработчики OpenClaw уже добавили базовую возможность отправки жалоб на скиллы и при трёх уникальных репортах модуль автоматически скрывается из поиска.
Что это значит для безопасности ИИ-ассистентов
Этот инцидент подчёркивает растущий риск для открытых AI-экосистем: даже если сам ИИ работает корректно, сторонний код расширений может использоваться для компрометации системы. У OpenClaw, как и у любого мощного локального помощника, есть доступ к файлам, сетям и аутентификационным данным, и это делает его привлекательной мишенью для атак.
Аналитики также предупреждают, что архитектурные особенности OpenClaw, такие как постоянная память и возможность внешних вызовов, могут усиливать эксплойты, превращая их из мгновенных ошибок в долгосрочные, скрытые угрозы.
Источник: HN