В начале 2026 года сообщество информационной безопасности столкнулось с новой угрозой, наглядно демонстрирующей, как быстроразвивающиеся экосистемы искусственного интеллекта становятся лакомой целью для злоумышленников. Речь идет о масштабной кампании по отравлению цепочки поставок (supply-chain attack), нацеленной на экосистему OpenClaw - популярного open-source AI-агента. Атака, получившая название "ClawHavoc" (в русскоязычных источниках - "Личжао хаоцзе" или "Ликлов Хаос"), была раскрыта исследователями из Koi Security и детально проанализирована экспертами "Аньтянь" (Antiy CERT). Ее суть заключалась в массовой загрузке вредоносных "скиллов" (Skills) - плагинов-расширений для AI-агента - на официальный маркетплейс ClawHub.
Описание
OpenClaw, известный также под прежними названиями ClawdBot и Moltbot, представляет собой так называемый агентный ИИ (Agentic AI). В отличие от генеративных моделей вроде ChatGPT, его основная функция - не просто создание текста, а выполнение действий от имени пользователя: работа с файловой системой, выполнение терминальных команд, взаимодействие с API сторонних сервисов. Для расширения возможностей агента используется экосистема плагинов Skills, которые пользователи могут легко устанавливать через маркетплейс ClawHub.
Именно эта открытость и минимальные барьеры для публикации скиллов (достаточно аккаунта GitHub недельной давности) сыграли на руку атакующим. По данным отчета "Аньтянь", в период с конца января по начало февраля 2026 года злоумышленники, зарегистрировавшись как разработчики, массово загрузили на ClawHub поддельные скиллы. Эти вредоносные пакеты маскировались под легитимные инструменты для работы с криптовалютами (например, "solana-wallet-tracker"), повышения продуктивности ("google-workspace") или анализа соцсетей ("youtube-summarize-pro").
Механика атаки: Социальная инженерия в стиле "ClickFix"
Ключевой особенностью кампании стало не использование технических уязвимостей, а изощренная социальная инженерия. Вредоносная функциональность была скрыта не в коде, напрямую исполняемом агентом, а в документации - файлах "SKILL.md". Эти файлы, часто объемом в сотни строк и, вероятно, сгенерированные с помощью ИИ, содержали подробные инструкции по установке и настройке.
В разделы "Предварительные требования" (Prerequisites) или "Установка" (Setup) злоумышленники встраивали инструкции, убеждающие пользователя в необходимости установки "вспомогательного компонента" для работы скилла. Для пользователей Windows предлагалось скачать с GitHub запароленный ZIP-архив с вредоносным ПО, пароль к которому указывался прямо в инструкции (например, "1202"). Для пользователей macOS приводилась команда для терминала, которая после декодирования из base64 загружала и исполняла зловредный payload (полезную нагрузку).
Эта тактика, названная экспертами "ClickFix 2.0", эксплуатирует психологию технически подкованных пользователей и разработчиков, привыкших к сложным процессам настройки инструментов. Доверие к платформе ClawHub и привычка следовать официальной документации сыграли против них.
Типы вредоносных скиллов и их последствия
Аналитики "Аньтянь" классифицировали обнаруженные образцы как троянскую программу Trojan/OpenClaw.PolySkill и выделили три основных типа:
- Индукция на загрузку и выполнение вредоносного кода. Самый распространенный тип. После выполнения инструкций из "SKILL.md" на систему загружался сторонний зловред. Например, для macOS это часто оказывался Atomic macOS Stealer (AMOS) - похититель данных, способный красть файлы, пароли из браузеров, cookies, ключи SSH и данные криптокошельков.
- Обратная оболочка (Reverse Shell). В скиллах, маскирующихся под инструменты для мониторинга крипторынка (например, "polymarket-all-in-one"), в Python-скрипты был встроен код, использующий "os.system()" для загрузки и выполнения трояна с функцией обратного подключения к серверу атакующего (RAT).
- Кража конфиденциальных данных. Некоторые скиллы, например, маскировавшиеся под "Помощника погоды", напрямую с помощью JavaScript похищали конфигурационные файлы самого OpenClaw (".env"), содержащие токены доступа к платным API, таким как OpenAI или Claude.
По состоянию на 5 февраля 2026 года эксперты "Аньтянь" обнаружили в истории ClawHub 1184 вредоносных скилла от 12 авторов. Наиболее активный из них, "hightower6eu", ответственен за 677 пакетов. Несмотря на активную чистку со стороны администрации ClawHub, часть вредоносных скиллов все еще оставалась доступна. Общее количество загрузок только для 60 пакетов от автора "moonshine-100rze" превысило 14 тысяч.
Широкий контекст и уроки для экосистем ИИ
Инцидент "Ликлов Хаос" вышел далеко за рамки обычной кампании по распространению вредоносного ПО. Он стал тревожным сигналом для всей индустрии, демонстрирующим системные проблемы безопасности в nascent-экосистемах агентного ИИ.
Во-первых, атака показала, что приоритет скорости развития и "vibe coding" (быстрая итерация разработки с упором на ощущения, а не на планирование) часто происходит в ущерб базовой безопасности архитектуры и процессов. Открытый маркетплейс без эффективного контроля, анализа кода и репутационных механизмов стал идеальным вектором для supply-chain атаки.
Во-вторых, событие подчеркивает, что риски безопасности ИИ не сводятся лишь к алгоритмическим угрозам вроде poisoning данных или jailbreak моделей. Не менее, а возможно и более, актуальными становятся классические проблемы ИТ-управления: безопасность цепочек поставок, управление привилегиями и борьба с социальной инженерией в новых контекстах. OpenClaw, получивший от пользователей высокие системные привилегии для автономных действий, сам стал инструментом для эскалации атаки после первоначального компромета.
В-третьих, атака выявила "слепые зоны" в защите у технических специалистов. Разработчики и инженеры, обычно осторожные с подозрительными письмами или файлами, могут терять бдительность в рамках профессиональных экосистем и процессов, таких как установка зависимостей или плагинов.
В ответ на инцидент команда OpenClaw начала принимать меры: была добавлена функция репортов для пользователей, назначен ответственный за безопасность, анонсирован roadmap по усилению защиты. Однако, как отмечают в "Аньтянь", этих шагов недостаточно. Требуется создание полноценной многоуровневой системы безопасности маркетплейса, включающей статический и динамический анализ, песочницы и активную модерацию, по аналогии с современными магазинами приложений.
"Ликлов Хаос" - это наглядное предупреждение. Стремительный рост возможностей агентного ИИ опережает выстраивание адекватных систем security-by-design. Безопасность таких экосистем должна закладываться на архитектурном уровне с самого начала, сочетая технические контрмеры, строгие процессы проверки и постоянное обучение пользователей. Игнорирование этих принципов может привести к тому, что мощный инструмент для автоматизации труда превратится в мощное оружие в руках злоумышленников.
Индикаторы компрометации
IPv4
- 202.161.50.59
- 54.91.154.110
- 91.92.242.30
- 95.92.242.30
- 96.92.242.30
Domains
- socifiapp.com
URLs
- https://github.com/denboss99
MD5
- 0c76e33ddde228e9ce098edf3bf5f06a
- 2444b3ab5de42fcca22e6025cf018e3b
- 3a4450bacf20eea2dcc246da7bce9667
- 5e4428176aeb8cfc7f0391654d683a2a
- 683c79817d7a3c32619a6623f85a5b32
- 6eb06663f1f6a43ab59bf0d35ae4e933
- 760c89959e2d80f9b78a320023a875b7
- 8611dfd731c27ac1592de60a31c66634
- a3365c837ec2659c2aa04e7010a0db15
- a37f6403fbf28fa0b48863287f4c5a5d
- a535666293db8dcaba511e38b735f2b8
- b8f295977d4dec2e9bffd6fce2320bd1
- be24b44d4895c6bc14e3f98a9687a399
- c458840f920770438cda517160bfd1b1
- db48607a6f85e716a3ec3e9b613f278d
