Od automatyzacji do infekcji: jak „skille” OpenClaw stały się nowym kanałem dystrybucji malware

Wprowadzenie do problemu / definicja luki

Rynek „agentów AI” działających lokalnie na komputerze rośnie, bo obiecuje realną automatyzację: wykonywanie komend w shellu, operacje na plikach, sieci, integracje z API. Problem zaczyna się w momencie, gdy te agenty rozszerzamy o zewnętrzne dodatki — „skille” — które w praktyce stają się łańcuchem dostaw (supply chain) dla atakujących.

VirusTotal opisuje, iż ekosystem OpenClaw (wcześniej Clawdbot/Moltbot) — wraz z publicznym marketplace’em ClawHub — zaczął być wykorzystywany jako nowy kanał dostarczania malware, często w formie „instrukcji instalacji”, które nakłaniają użytkownika do pobrania i uruchomienia zewnętrznego kodu.

W skrócie

• VirusTotal wykrył setki złośliwych skillów w ekosystemie OpenClaw; w momencie publikacji przeanalizowano ponad 3 016 pakietów skill, z czego „setki” miały cechy złośliwe.
• Atak nie zawsze polega na tym, iż ZIP „jest malware”. Często „malware jest workflow”: markdown (SKILL.md) prowadzi użytkownika do uruchomienia droppera/backdoora/stealera.
• VT opisuje też bardziej zaawansowane techniki: m.in. Execution Hijacking (uruchomienie payloadu jeszcze zanim użytkownik wykona adekwatne polecenie), „semantic worms”, trwałość przez modyfikację plików kontekstu agenta (SOUL.md/AGENTS.md) i inne.
• Niezależny audyt Koi Security wskazał 341 złośliwych skillów na ClawHub (większość z jednej kampanii nazwanej ClawHavoc).

Kontekst / historia / powiązania

OpenClaw zdobył popularność jako „agent, który naprawdę coś robi” — działa lokalnie i może wykonywać akcje na urządzeniu użytkownika. W takich modelach prawdziwe ryzyko nie wynika wyłącznie z LLM i promptów, ale z faktu, iż agent ma dostęp do powłoki systemowej, plików i sieci — a skille są w praktyce niezależnym oprogramowaniem stron trzecich, instalowanym często „na wiarę”.

Analogicznie do tego, co obserwowaliśmy w ekosystemach npm/PyPI czy w marketplace’ach rozszerzeń, ClawHub stał się atrakcyjny dla atakujących, bo:

• jest szybki „time-to-victim” (użytkownicy instalują dodatki, by od razu działało),
• jest duża tolerancja na „krok instalacyjny w terminalu”,
• wiele skillów ma minimalną zawartość kodu, a najgroźniejsza część jest w instrukcjach.

Analiza techniczna / szczegóły luki

1) „Skille” jako opakowanie socjotechniczne (SKILL.md → uruchom to w terminalu)

VirusTotal opisuje skille jako pakiety oparte o SKILL.md (metadane i instrukcje), często z dodatkowymi skryptami/zasobami. Najczęstszy wzorzec nadużycia: pozornie legalny skill (np. „Yahoo Finance”) zawiera kilka kodu i nie jest wykrywany jako malware przez klasyczne silniki, ale wymusza na użytkowniku pobranie i uruchomienie binarki/skryptu z zewnątrz.

W jednym z opisanych przypadków (konto „hightower6eu”) VT wskazał, iż przeanalizował 314 skillów powiązanych z jednym wydawcą i wszystkie miały charakter złośliwy; instrukcje prowadziły do uruchamiania zewnętrznych payloadów na Windows i macOS.

2) Zmiana gry po stronie obrony: analiza „zachowania” skilla (Code Insight)

VirusTotal dodał natywne wsparcie w VT Code Insight dla paczek OpenClaw (również ZIP). Analiza ma być „security-first”: nie tyle „co skill obiecuje”, ale co faktycznie robi/wywołuje, np. pobieranie i uruchamianie kodu, dostęp do danych wrażliwych, operacje sieciowe, wymuszanie niebezpiecznych zachowań.

3) Execution Hijacking i reverse shell „przy podglądzie helpa”

W części II VirusTotal pokazuje technikę Execution Hijacking: trigger ukryty w funkcji (np. warmup()), która uruchamia się zanim parser argumentów przetworzy polecenie. Efekt: payload może wykonać się już wtedy, gdy agent tylko „ładuje skrypt”, np. żeby sprawdzić --help.

W opisanym przykładzie VT omawia przepływ prowadzący do komendy uruchamiającej reverse shell (mechanizm bash + /dev/tcp + nohup), czyli realne zdalne przejęcie interaktywnej powłoki.

4) „Semantic worm”: agent jako kanał propagacji

VT nazywa „semantic worms” klasą nadużyć, gdzie skill nie tylko wykonuje kod, ale zawiera instrukcje mające skłonić agenta do rozprzestrzeniania (np. polecania/instalowania) dalej — wykorzystując mechanikę działania LLM i automatyzacji.

5) „Cognitive rootkit”: trwała modyfikacja warstwy instrukcji (SOUL.md / AGENTS.md)

Jedna z najbardziej niepokojących technik z części II to trwałość przez dopisanie treści do plików kontekstu agenta, które są automatycznie ładowane przy starcie. VT opisuje scenariusz, w którym instalator skilla dopisuje „implant” do SOUL.md i AGENTS.md, zmieniając zachowanie agenta w przyszłości choćby po usunięciu samego skilla.

Praktyczne konsekwencje / ryzyko

Dlaczego to jest groźniejsze niż „zwykłe” złośliwe repozytorium?

1. Klasyczne AV/EDR może nie zareagować na etap 0
   Jeśli skill to „tylko markdown + mało kodu”, plik sam w sobie bywa „czysty”. Złośliwy jest dopiero etap pobrania i uruchomienia payloadu, często wykonywany manualnie przez użytkownika zgodnie z instrukcją.
2. Blast radius = cały komputer (a czasem sieć)
   Agent ma realne uprawnienia: pliki, powłoka, sieć. To sprawia, iż drobny błąd w procesie instalacji skilla może skończyć się pełnym przejęciem hosta lub pivotem.
3. Ryzyko kradzieży danych i kont
   W kampaniach opisywanych w ekosystemie OpenClaw pojawia się m.in. Atomic Stealer (AMOS). Unit 42 opisuje AMOS jako jednego z istotnych macOS infostealerów, kradnącego m.in. dane przeglądarek (hasła/cookies), artefakty kryptowalutowe i dane z komunikatorów.
4. Skala i tempo
   Koi Security raportuje, iż po audycie całego ClawHub wykryto 341 złośliwych skillów, z czego 335 wyglądało na jedną dominującą kampanię (ClawHavoc).

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników / zespołów (blue team)

• Traktuj foldery skill jako granicę zaufanego kodu: kontroluj, kto może je modyfikować i skąd pochodzą.
• Sandboxuj uruchomienia agenta (izolacja, oddzielny użytkownik/system, ograniczenia sieci, brak dostępu do kluczy/sekretów).
• Zasada „zero one-linerów”: nie uruchamiaj poleceń typu curl ... | bash, nie wklejaj obfuskowanych komend, nie uruchamiaj binarek „z instrukcji”.
• Weryfikuj, co skill robi naprawdę: przegląd SKILL.md, skryptów, odwołań do zewnętrznych domen, base64/obfuskacji; skanuj paczki przed instalacją.

Dla operatorów marketplace / maintainerów platformy

• Skanowanie przy publikacji: flagowanie zdalnego pobierania i wykonywania kodu, obfuskacji, instrukcji omijających nadzór użytkownika.
• Mechanizmy reputacyjne i antyabuse: wymagania dot. kont, zgłaszanie/automatyczne wycofanie, widoczne ostrzeżenia „ten skill uruchamia zewnętrzny kod”. (To także kierunek dyskutowany publicznie wokół ClawHub).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• npm/PyPI vs ClawHub: w klasycznych menedżerach paczek złośliwy kod zwykle „jest w paczce”. W ekosystemie skillów agentowych często nie musi być — wystarczy, iż paczka skutecznie nakłoni do uruchomienia payloadu lub „wstrzyknie” trwałe instrukcje do kontekstu agenta.
• Infostealery jako payload: AMOS i podobne rodziny wpisują się w trend kradzieży danych/kluczy/sesji, ale nowością jest kanał dystrybucji (skille + agent z uprawnieniami).

Podsumowanie / najważniejsze wnioski

OpenClaw i podobne „agentic AI” tworzą nową klasę ryzyka: automatyzacja z uprawnieniami systemowymi + marketplace dodatków = idealny cel dla supply chain. Najgroźniejsze przypadki nie polegają na „złośliwym ZIP-ie”, tylko na tym, iż skill staje się wiarygodnym, powtarzalnym mechanizmem doprowadzania do RCE, kradzieży sekretów, backdoorów, a choćby trwałego przeprogramowania zachowania agenta („cognitive rootkit”).

Jeśli organizacja testuje agentów AI lokalnie: traktuj to jak wdrożenie narzędzia uprzywilejowanego. W takim świecie „supply chain” nie jest detalem — to jest produkt.

Źródła / bibliografia

1. VirusTotal Blog — From Automation to Infection: How OpenClaw AI Agent Skills Are Being Weaponized (02.02.2026). (VirusTotal Blog)
2. VirusTotal Blog — From Automation to Infection (Part II): Reverse Shells, Semantic Worms, and Cognitive Rootkits in OpenClaw Skills (05.02.2026). (VirusTotal Blog)
3. Koi Security — ClawHavoc: 341 Malicious Clawed Skills Found by the Bot They Were Targeting (01.02.2026). (koi.ai)
4. The Verge — OpenClaw’s AI ‘skill’ extensions are a security nightmare (ok. 05.02.2026). (The Verge)
5. Palo Alto Networks Unit 42 — Stealers on the Rise: A Closer Look at a Growing macOS Threat (04.02.2025). (Unit 42)