Десятки расширений для ClawHub тайно превращают ИИ-агентов в сеть для майнинга

На платформе ClawHub обнаружено 30 вредоносных навыков, которые объединяют ИИ-агентов в автоматизированную сеть для работы с криптовалютой. Общая численность загрузок этих инструментов уже достигла 9800. Особенность кампании, получившей название ClawSwarm, заключается в том, что она не использует классическое вредоносное ПО, а эксплуатирует саму логику работы автономных систем.

По данным Акса Шармы, руководителя отдела исследований безопасности компании Manifold, угроза нацелена на файлы формата SKILL.md. Это специальные документы, которые содержат инструкции для ИИ-агентов по взаимодействию с внешними системами. Вместо прямой атаки на пользователя, ClawSwarm внедряет алгоритмы непосредственно в рабочий цикл программного обеспечения.

Скрытая активность под видом полезных утилит

Вредоносные навыки маскируются под легитимные инструменты, востребованные среди пользователей OpenClaw — открытой платформы для создания ИИ-ботов. В обзоре отмечается, что автор под псевдонимом imaflytok опубликовал расширения, которые кажутся полезными на первый взгляд. Среди них:

• помощник для планировщика задач cron (более 900 скачиваний);
• инструмент для обеспечения безопасности агентов (685 скачиваний);
• мониторинг активности крупных криптоинвесторов (347 скачиваний);
• модуль для автоматизации публикаций в социальных сетях.

После установки такого навыка ИИ-агент автоматически регистрируется на стороннем сервере. Программа передает свои идентификационные данные, отчет о своих возможностях и каждые четыре часа проверяет наличие новых команд. Если условия позволяют, агент самостоятельно создает криптокошелек в сети Hedera и сохраняет закрытые ключи на локальном диске. Владелец системы при этом не получает никаких уведомлений и не подтверждает эти операции.

Проблема контроля исполнения

Эксперты подчеркивают, что ClawSwarm технически не является уязвимостью в привычном понимании. Инфраструктура проекта открыта: у него есть публичные документы, группа в Telegram и собственный токен. Код использует стандартные сетевые запросы и официальные пакеты для разработки, поэтому автоматические сканеры безопасности не находят в нем подозрительной активности.

Ситуация напоминает ранее зафиксированные кампании в протоколе Tea, когда репозитории пакетов заполнялись спамом для автоматизированного получения токенов. В данном случае результат для конечного пользователя остается тем же: его вычислительные ресурсы и ИИ-агенты выполняют задачи в интересах третьих лиц без соответствующего разрешения.

По словам обозревателей, блокировка таких расширений на уровне каталога не решит проблему, так как формально они не нарушают правила безопасности. Специалисты считают, что индустрии необходимы инструменты для мониторинга действий ИИ-агентов в режиме реального времени. Только отслеживание сетевых контактов и операций с ключами после установки новых навыков позволит предотвратить несанкционированное использование автономных систем.