Кажется, мы вошли в ту стадию развития «локальных AI-ассистентов», когда удобство начинает слишком легко превращаться в риск. На этой неделе всплыла неприятная история вокруг OpenClaw — open-source помощника, который запускается локально, умеет работать с памятью и интегрируется с чатами, почтой и файловой системой.
По данным расследований, за считанные дни в официальном реестре и на GitHub появилось более 230 вредоносных пакетов-«skills» (по сути — плагинов/навыков), которые маскировались под полезные инструменты и в итоге устанавливали на машины пользователей инфостилеры — вредоносы для кражи данных.
Как работает схема
Сами «skills» выглядели убедительно: нормальная документация, описания, обещания автоматизации трейдинга, финансовых задач, соцсетей и контента. Но внутри был крючок — навязчивые упоминания якобы обязательного инструмента AuthTool, без которого «плагин не запустится».
И вот здесь начинается классика: заражение происходило, когда человек следовал инструкции из документации (по логике атаки это похоже на ClickFix-подход — когда жертву уговаривают запустить “правильную команду”, чтобы “всё заработало”). На macOS AuthTool представлял собой base64-закодированную shell-команду, которая скачивала полезную нагрузку с внешнего адреса. На Windows — загрузку и запуск ZIP-архива с паролем.
Отдельно исследователь Jamieson O’Reilly ранее обращал внимание на то, что в интернете есть сотни неправильно настроенных админ-интерфейсов OpenClaw, открытых в публичный доступ. В сочетании с волной «плагинов на любой вкус» это выглядит как идеальный шторм.
Что именно пытаются украсть?
На macOS вредонос идентифицируют как вариант NovaStealer. В описании атаки фигурируют попытки обойти Gatekeeper и получить широкие права на чтение файлов и взаимодействие с системными сервисами.
Список целей звучит как чек-лист кошмара: API-ключи (в том числе от криптобирж), приватные ключи/файлы кошельков и seed-фразы, данные расширений криптокошельков в браузере, содержимое Keychain на macOS, сохранённые пароли браузера, SSH-ключи, облачные и Git-учётные данные, а также файлы .env.
При этом часть «skills» была почти одинаковыми клонами с рандомизированными названиями — но некоторые успели стать популярными и собирали тысячи загрузок.
Ситуацию подливает маслом ещё один факт: Koi Security в своём отчёте насчитали 341 вредоносный «skill» в ClawHub после анализа всего репозитория из 2 857 пакетов и связали их с одной кампанией. Там же упоминаются и 29 доменных typosquat-вариантов (сайты под частые опечатки названия реестра).
Если вы читаете Xalabuda давно, то знаете: такие истории очень похожи на то, как «сотрудничество» или «полезная утилита» внезапно превращаются в кражу доступов. Я уже разбирал похожую механику на примере того, как мошенники крадут данные под видом сотрудничества — принцип один: доверие + спешка = компрометация.
Создатель OpenClaw Питер Штайнбергер, как сообщается, признал, что платформа сейчас не может вручную проверять лавину новых «skills», поэтому ответственность фактически перекладывается на пользователей: проверять, что именно вы ставите и откуда это берётся.
Мой вывод простой: чем глубже ассистент “впаян” в систему (файлы, почта, ключи, доступы), тем ближе он по угрозам к полноценному администратору — только без ваших привычных привычек безопасности. И да, это обратная сторона тренда на практическое применение ИИ: чем полезнее инструменты, тем быстрее ими начинают пользоваться не только мы.
Если вы экспериментируете с OpenClaw (и любыми локальными AI-агентами), разумный минимум выглядит так: изоляция в виртуальной машине, максимально ограниченные права, аккуратная настройка удалённого доступа (не торчать админкой наружу, ограничивать порты, фильтровать трафик). Да, это скучно — но именно так обычно и спасают пароли, ключи и кошельки.
Источник: BleepingComputer
