Manifold Security выявила 23 исполняемых плагина, опубликованных в реестре ClawHub под пространствами имен @openclaw/ и @clawhub/, которые принадлежат учетным записям, не связанным с этими организациями. Проблема затрагивает всех, кто использует ИИ-агентов на базе OpenClaw, Claude Code или совместимых инструментов. Плагины могут выполнять код с реальными привилегиями внутри агента, а их размещение под доверенным префиксом создает иллюзию официального происхождения. Реестр ClawHub насчитывает более 1500 плагинов, и 557 из них имеют префикс @owner/, однако не все такие префиксы подтверждены владельцем.
Система пространств имен (scope) в реестрах пакетов существует давно и хорошо знакома разработчикам npm. Префикс @owner/ в имени пакета привязывает его к конкретному владельцу, выступая сигналом доверия: потребитель видит, откуда код. В npm эта проверка обязательна - опубликовать пакет под чужим пространством имен может только участник соответствующей организации. ClawHub, будучи реестром плагинов для OpenClaw, перенял ту же модель, но не применял её последовательно. В документации ClawHub указано, что пространство имен должно совпадать с владельцем публикации, однако на практике проверка для организационных пространств не выполнялась.
Как показал анализ Manifold Security, 23 плагина из 557 оказались под префиксами @openclaw/ и @clawhub/, хотя их настоящие владельцы не имеют отношения к этим организациям. Например, плагин @openclaw/security-gate заявлен как инструмент проверки безопасности, но принадлежит учетной записи dsda56180. Другой пример - @clawhub/aisa-twitter-api, владелец bibaofeng. Разработчик, видя такой URL или команду установки, с высокой вероятностью посчитает плагин официальным. Шесть из этих 23 плагинов были помечены сканером ClawHub как подозрительные, остальные прошли проверку без замечаний. При этом ни один из них не содержал явно вредоносного кода на момент анализа, но сама возможность размещения кода под чужим пространством имен представляет собой брешь в безопасности цепочки поставок.
Важно понимать, что риск заключается не в текущем наличии вирусов, а в способности злоумышленника воспользоваться доверием к пространству имен. Плагины, которые выполняют автономные платежные действия, управляют git-репозиториями на уровне хоста, экспортируют конфигурацию агента или передают данные сторонним API, под официально выглядящим префиксом получают необоснованное доверие. Если бы один из таких плагинов содержал вредоносную полезную нагрузку в будущем обновлении, жертва установила бы его без подозрений. Платформа ClawHub использует собственный сканер, который помечает плагины как clean или suspicious, но шесть подозрительных экземпляров не были заблокированы, а остальные 17 прошли проверку.
Список из 23 плагинов включает 15 различных учетных записей. Некоторые аккаунты владеют сразу несколькими плагинами: все пять @clawhub/ пакетов принадлежат одному пользователю, а пять @openclaw/ - другому. Большинство авторов, вероятно, действовали без злого умысла, просто разместив полезные инструменты под доступным официальным префиксом. Однако эта лазейка открыта и для целенаправленного злоумышленника, который может подделать доверенное пространство имен с целью фишинга или компрометации агента.
После уведомления Manifold Security 17 июня через механизм безопасности GitHub и дополнительного письма 18 июня ClawHub предпринял меры. В документацию реестра была добавлена процедура оспаривания пространств имен и владельцев. Теперь правообладатель может открыть заявку на проверку с публичными неконфиденциальными доказательствами. К 19 июня плагины, вводящие в заблуждение, были скрыты из публичного доступа. Разработчики ClawHub заслуживают положительной оценки за оперативность, однако сам факт существования такой уязвимости указывает на системную проблему.
Проблема выходит за рамки одного реестра. Экосистема ИИ-агентов расширяется стремительно: навыки, MCP-серверы, плагины - каждый новый компонент увеличивает поверхность атаки. Плагины обладают большими возможностями: они могут подключать хуки, пересылающие переменные окружения, загружать дополнительные навыки или изменять настройки агента, оставаясь незаметными для пользователя. Отсутствие контроля над пространствами имен усугубляет ситуацию, так как злоумышленник получает официальную репутацию еще до начала эксплуатации.
Manifold Security ранее выявляла навыки, которые тайно собирали данные, а также навыки, рекрутировавшие ИИ-агентов в криптосети. После их публикаций угрозы были устранены. Исследователи также продемонстрировали и помогли исправить критические уязвимости в широко используемых MCP-серверах и расширениях VS Code. Текущий случай с ClawHub - очередное звено в цепочке атак на цепочку поставок ИИ. Реестр плагинов ClawHub продолжает расти, и без строгой верификации пространств имен каждое новое добавление несет потенциальный риск. Разработчикам и администраторам, использующим ИИ-агентов, следует внимательно проверять источник устанавливаемых плагинов и по возможности использовать только те, что подтверждены официальными каналами.
