Một cuộc kiểm tra bảo mật 2.857 kỹ năng trên ClawHub đã phát hiện 341 kỹ năng độc hại trong nhiều chiến dịch khác nhau, theo những phát hiện mới từ Koi Security, làm lộ người dùng trước các rủi ro chuỗi cung ứng mới.
ClawHub là một thị trường được thiết kế để người dùng OpenClaw dễ dàng tìm và cài đặt các kỹ năng của bên thứ ba. Đây là một phần mở rộng của dự án OpenClaw, một trợ lý trí tuệ nhân tạo (AI) tự lưu trữ, trước đây được biết đến với tên Clawdbot và Moltbot.
Phân tích, được Koi thực hiện với sự trợ giúp của một bot OpenClaw tên Alex, đã phát hiện 335 kỹ năng sử dụng các tiền đề giả mạo để cài đặt một công cụ đánh cắp thông tin trên Apple macOS có tên Atomic Stealer (AMOS). Tập hợp này đã được đặt tên mã là ClawHavoc.
"Bạn cài đặt một kỹ năng trông có vẻ hợp pháp – có thể là solana-wallet-tracker hoặc youtube-summarize-pro," nhà nghiên cứu Oren Yomtov của Koi cho biết. "Tài liệu của kỹ năng trông rất chuyên nghiệp. Nhưng có một phần 'Prerequisites' (Điều kiện tiên quyết) nói rằng bạn cần cài đặt một thứ gì đó trước."
Bước này bao gồm hướng dẫn cho cả hệ thống Windows và macOS: Trên Windows, người dùng được yêu cầu tải xuống một tệp có tên "openclaw-agent.zip" từ một kho lưu trữ GitHub. Trên macOS, tài liệu yêu cầu họ sao chép một script cài đặt được lưu trữ tại glot[.]io và dán vào ứng dụng Terminal. Việc nhắm mục tiêu vào macOS không phải là ngẫu nhiên, vì đã có các báo cáo về việc mọi người mua Mac Minis để chạy trợ lý AI 24x7.
Trong kho lưu trữ được bảo vệ bằng mật khẩu là một trojan với chức năng keylogging để thu thập API keys, credentials và các dữ liệu nhạy cảm khác trên máy, bao gồm cả những dữ liệu mà bot đã có quyền truy cập. Mặt khác, script glot[.]io chứa các lệnh shell bị che giấu để tải về các payload giai đoạn tiếp theo từ một hạ tầng do kẻ tấn công kiểm soát.
Điều này, lần lượt, đòi hỏi phải liên hệ với một địa chỉ IP khác ("91.92.242[.]30") để lấy một shell script khác, được cấu hình để liên hệ với cùng một máy chủ để có được một binary Mach-O phổ quát thể hiện các đặc điểm phù hợp với Atomic Stealer, một công cụ stealer thương mại có giá 500-1000 USD/tháng có thể thu thập dữ liệu từ các máy chủ macOS.
Theo Koi, các kỹ năng độc hại ngụy trang dưới dạng:
- ClawHub typosquats (ví dụ: clawhub, clawhub1, clawhubb, clawhubcli, clawwhub, cllawhub)
- Các công cụ tiền điện tử như Solana wallets và wallet trackers
- Polymarket bots (ví dụ: polymarket-trader, polymarket-pro, polytrading)
- Các tiện ích YouTube (ví dụ: youtube-summarize, youtube-thumbnail-grabber, youtube-video-downloader)
- Auto-updaters (ví dụ: auto-updater-agent, update, updater)
- Các công cụ tài chính và mạng xã hội (ví dụ: yahoo-finance-pro, x-trends-tracker)
- Các công cụ Google Workspace tuyên bố tích hợp với Gmail, Calendar, Sheets, và Drive
- Ethereum gas trackers
- Tìm kiếm Bitcoin bị mất
Ngoài ra, công ty an ninh mạng cho biết họ đã xác định các kỹ năng ẩn reverse shell backdoors bên trong mã chức năng (ví dụ: better-polymarket và polymarket-all-in-one), hoặc exfiltrate bot credentials hiện có trong "~/.clawdbot/.env" đến một webhook[.]site (ví dụ: rankaj).
Sự phát triển này trùng khớp với một báo cáo từ OpenSourceMalware, cũng đã gắn cờ chiến dịch ClawHavoc tương tự nhắm mục tiêu vào người dùng OpenClaw.
"Các kỹ năng này ngụy trang dưới dạng công cụ tự động hóa giao dịch tiền điện tử và phân phối malware đánh cắp thông tin cho các hệ thống macOS và Windows," một nhà nghiên cứu bảo mật với biệt danh trực tuyến 6mile cho biết.
"Tất cả các kỹ năng này đều chia sẻ cùng một hạ tầng command-and-control (91.92.242[.]30) và sử dụng kỹ thuật social engineering tinh vi để thuyết phục người dùng thực thi các lệnh độc hại, sau đó đánh cắp các tài sản tiền điện tử như API keys của sàn giao dịch, wallet private keys, SSH credentials và mật khẩu trình duyệt."
OpenClaw Thêm Tùy Chọn Báo Cáo
Vấn đề phát sinh từ thực tế là ClawHub mở theo mặc định và cho phép bất kỳ ai tải lên các kỹ năng. Hạn chế duy nhất ở giai đoạn này là một nhà xuất bản phải có tài khoản GitHub ít nhất một tuần tuổi.
Vấn đề với các kỹ năng độc hại đã không bị bỏ qua bởi người tạo ra OpenClaw là Peter Steinberger, người đã triển khai một tính năng báo cáo cho phép người dùng đã đăng nhập gắn cờ một kỹ năng. "Mỗi người dùng có thể có tối đa 20 báo cáo đang hoạt động cùng một lúc," tài liệu nêu rõ. "Các kỹ năng có hơn 3 báo cáo độc đáo sẽ tự động bị ẩn theo mặc định."
Những phát hiện này nhấn mạnh cách các hệ sinh thái mã nguồn mở tiếp tục bị các threat actors lạm dụng, những kẻ hiện đang lợi dụng sự phổ biến đột ngột của OpenClaw để dàn dựng các chiến dịch độc hại và phân phối malware trên quy mô lớn.
Trong một báo cáo tuần trước, Palo Alto Networks đã cảnh báo rằng OpenClaw đại diện cho điều mà lập trình viên người Anh Simon Willison, người đã đặt ra thuật ngữ prompt injection, mô tả là một "bộ ba chết người" khiến các AI agents dễ bị tấn công ngay từ thiết kế do khả năng truy cập dữ liệu riêng tư, tiếp xúc với nội dung không đáng tin cậy và khả năng giao tiếp ra bên ngoài.
Sự giao thoa của ba khả năng này, kết hợp với persistent memory của OpenClaw, "đóng vai trò là chất xúc tác" và khuếch đại các rủi ro, công ty an ninh mạng cho biết thêm.
"Với persistent memory, các cuộc tấn công không còn chỉ là các exploits tại một thời điểm. Chúng trở thành các cuộc tấn công có trạng thái, thực thi chậm trễ," các nhà nghiên cứu Sailesh Mishra và Sean P. Morgan cho biết. "Các payload độc hại không còn cần phải kích hoạt thực thi ngay lập tức khi được gửi đến. Thay vào đó, chúng có thể bị phân mảnh, là các input không đáng tin cậy xuất hiện vô hại khi tách rời, được ghi vào bộ nhớ dài hạn của agent và sau đó được tập hợp thành một tập hợp các lệnh có thể thực thi."
"Điều này cho phép prompt injection chuyển đổi thời gian, memory poisoning và kích hoạt theo kiểu logic bomb, trong đó exploit được tạo ra khi tiếp nhận nhưng chỉ kích hoạt khi trạng thái nội bộ, mục tiêu hoặc tính khả dụng của công cụ của agent phù hợp."
