Открытый ИИ-ассистент OpenClaw стал новым вектором атак: Каждый десятый плагин в официальном магазине оказался вредоносным

Резкий рост популярности проекта OpenClaw (ранее известного как MoltBot/ClawdBot), открытого «персонального ИИ-ассистента», вызвал серьезную озабоченность в сообществе кибербезопасности. Проект, позволяющий запускать автономных ИИ-агентов (AI Agents) на локальных устройствах, стал вирусным в январе 2026 года, набрав более 100 тысяч звезд на GitHub всего за две недели. Однако его стремительное распространение открыло новые возможности для злоумышленников.

Описание

Специалисты лаборатории Keen Security Lab, входящей в состав Tencent, провели исследование угроз, связанных с проектом. Они проанализировали публичные уязвимости (CVE) и обнаружили активную кампанию, в рамках которой атакующие загружают на официальную площадку ClawHub поддельные плагины (Skills), маскирующиеся под полезные инструменты. Эти вредоносные (malicious) расширения, выдающие себя за «браузерные помощники, социальные агенты или финансовые инструменты», обходят проверки благодаря точному копированию интерфейса и структуры легитимных плагинов. Вредоносная логика скрыта исключительно в скриптах установки.

Полный анализ всех общедоступных плагинов на ClawHub показал, что почти 10% образцов несут в себе угрозу безопасности. Основные риски включают загрузку и исполнение троянов, кражу данных из Web3-кошельков и утечку пользовательской информации. После установки большинство вредоносных плагинов используют единый шаблон для загрузки удаленного вредоносного кода (payload). Некоторые образцы напрямую внедряют обратную оболочку (reverse shell) или воруют локальные данные браузера.

Дальнейший анализ позволил связать эти трояны со знаменитым семейством воров информации Nova Stealer. Похоже, атаки осуществляются по модели MaaS (Malware-as-a-Service, «вредоносное ПО как услуга»), что указывает на отлаженный производственный цикл у злоумышленников.

Архитектура OpenClaw и поверхность атаки

OpenClaw позиционируется как полнофункциональная система ИИ-ассистента, работающая в фоновом режиме и поддерживающая кросс-платформенность. Его ключевая особенность - интеграция с различными каналами коммуникации (мессенджерами, почтой) и использование больших языковых моделей (LLM), таких как Anthropic Claude или OpenAI GPT, для анализа намерений пользователя и автоматического выполнения задач. Эта мощная функциональность одновременно является и его главной уязвимостью.

Архитектура системы создает обширную поверхность для атак:

Веб-интерфейс (Dashboard) для управления.
Шлюз (Gateway), обеспечивающий связь по WebSocket/HTTP.
Модуль плагинов (Skills), где выполняются расширения функциональности.
Модуль агента (Agent), который планирует выполнение задач.
Песочница (Sandbox) для исполнения команд и скриптов на Python или Node.js.

Именно модуль плагинов, поддерживающий установку расширений из удаленных репозиториев, стал главной целью для компрометации.

Анализ реальных атак и вредоносных плагинов

Типичная атака выглядит следующим образом: злоумышленник создает вредоносный плагин, загружает его на ClawHub и ждет, пока пользователи установят его, соблазнившись описанием. Анализ 3107 публичных плагинов, проведенный 3 февраля 2026 года, выявил 295 опасных образцов.

Основные категории рисков распределились следующим образом: загрузка и исполнение кода (4.96%), подозрительные действия с Web3-кошельками (4.22%), утечка данных и учетных записей (0.90%), обеспечение постоянного присутствия в системе (persistence, 0.68%) и внедрение обратной оболочки (0.06%).

Исследователи выделили несколько четких шаблонов атак:

Единый шаблон доставки. Множество плагинов используют закодированную в base64 команду для запуска bash-скрипта с удаленного сервера. Инфраструктура атакующих централизована: разные плагины загружают вредоносный код с одних и тех же IP-адресов, лишь меняя пути в URL.
Прямое внедрение обратной оболочки. Некоторые плагины содержат в своем коде прямые инструкции для установления удаленного доступа к системе жертвы, что является классическим признаком бэкдора (backdoor).
Кража и утечка данных. Отдельные плагины фокусируются на сборе конфиденциальной информации: от файлов с переменными окружения (.env) до содержимого локального хранилища браузера (localStorage), сессий и cookies. Собранные данные отправляются на контролируемые злоумышленниками сервисы, такие как webhook.site.
Связь с известными угрозами. Вредоносный код, загружаемый некоторыми плагинами, после анализа был идентифицирован как модификация известного стилера (stealer) Nova Stealer. Программа, ориентированная на macOS и Windows, динамически расшифровывает конфигурацию, включая адрес командного сервера (C2), и крадет cookies браузера, пароли, данные криптокошельков (MetaMask, TronLink) и файлы определенных расширений. Все признаки указывают на работу группы Nova Sentinel, распространяющей этот стилер по модели MaaS.

Выводы и рекомендации

Ситуация с OpenClaw наглядно демонстрирует двойственность современных ИИ-инструментов. С одной стороны, они предлагают беспрецедентные возможности автоматизации, с другой - значительно расширяют поверхность для атак из-за сложности архитектуры и доверия пользователей к сообществу. Показатель в 10% вредоносных плагинов в официальном магазине является тревожным сигналом.

Эксперты призывают к крайней осторожности. Не следует устанавливать подобные мощные инструменты с расширенными правами в корпоративной среде без тщательной проверки. Пользователям стоит избегать плагинов из непроверенных источников и критически оценивать необходимость предоставления таких систем доступа к критическим данным и аккаунтам. Безопасность часто становится платой за удобство, и в случае с автономными ИИ-агентами эта цена может оказаться слишком высокой.