ClawHub и угроза «ClawHavoc»
ClawHub — официальный маркетплейс скиллов для OpenClaw, где разработчики публикуют расширения, автоматизирующие задачи агента. По данным мониторинга от 18 марта 2026, из 2 857 скиллов, доступных в каталоге, как минимум 341 был классифицирован как вредоносный в рамках кампании, получившей название «ClawHavoc». По совокупным данным нескольких исследовательских компаний эта цифра достигает 824 опасных скиллов.
Отдельно Snyk зафиксировал, что 283 скилла содержали утечки API-ключей прямо в исходном коде или конфигурационных файлах.
Параллельный анализ более 18 000 публично доступных экземпляров OpenClaw показал: примерно 15% установленных скиллов содержат вредоносные инструкции. Источники: Immersive Labs, сообщества Reddit r/MachineLearning и r/OpenClawInstall.
Как работают вредоносные скиллы
Атакующие использовали несколько техник, которые сложно обнаружить при беглом просмотре описания скилла:
Кража содержимого буфера обмена
Скилл запрашивал доступ к системному буферу обмена под предлогом «умного копирования» или «автозаполнения». Реальная функция — периодическая отправка содержимого clipboard на внешний API. Пароли, токены, ссылки на внутренние документы — всё это утекало незаметно.
Псевдоотладочные логи через Discord webhooks
Скиллы отправляли «отладочную» информацию через Discord webhook, замаскированный под URL служебного сервера. В логах содержались переменные окружения, пути к файлам и фрагменты диалогов с агентом. Webhook-адрес нередко был захардкожен в коде, что существенно упрощало его обнаружение — но большинство пользователей не изучают исходники перед установкой.
Загрузка малвари
Часть скиллов при первом запуске подгружала дополнительные компоненты с внешних серверов. Механизм типичен для dropper-атак: основной скилл выглядит безобидно, а вредоносная нагрузка появляется после установки.
Как проверить установленные скиллы
Шаг 1. Просмотрите список установленных скиллов
В интерфейсе OpenClaw откройте Settings → Skills (или аналогичный раздел в зависимости от версии). Запишите названия всех установленных скиллов и их авторов.
Шаг 2. Проверьте репутацию автора
Найдите скилл в ClawHub. Обращайте внимание на:
- Дату публикации и последнего обновления
- Количество установок и отзывов
- Наличие GitHub-репозитория с историей коммитов
- Верификацию автора (значок проверенного разработчика)
Скиллы без истории, с минимальным числом установок и анонимным автором — зона повышенного риска.
Шаг 3. Изучите исходный код
Если скилл имеет открытый код, проверьте его вручную или через инструменты статического анализа. Ищите:
# Подозрительные паттерны:
- fetch() / axios.get() на нелокальные URL
- process.env переменные, передаваемые наружу
- Обращения к clipboard API
- Захардкоженные webhook-URL (discord.com/api/webhooks/...)
- Динамический import() или eval()Шаг 4. Используйте официальный механизм жалоб
OpenClaw внедрил сканирование через VirusTotal и кнопку «Пожаловаться» на странице скилла. Если вы обнаружили подозрительное поведение — сообщайте. Однако помните: автоматическое сканирование не покрывает все векторы атак, особенно обфусцированный код.
Таблица признаков вредоносного скилла
| Признак | Риск | Что делать |
|---|---|---|
| Запрос доступа к clipboard без очевидной причины | Высокий | Отклонить установку |
| Исходящие запросы к Discord/Telegram webhook | Высокий | Удалить скилл |
| Захардкоженные API-ключи в коде | Высокий | Удалить, сообщить в ClawHub |
| Скилл без репозитория и с нулевыми отзывами | Средний | Проверить вручную |
| Загрузка внешних компонентов при первом запуске | Высокий | Не запускать |
| Давно не обновлялся, но активно продвигается | Средний | Изучить историю автора |
Рекомендации по безопасному использованию скиллов
Устанавливайте только проверенные скиллы. Отдавайте предпочтение скиллам от верифицированных авторов с публичным репозиторием и историей коммитов. Подробнее о том, как устроены скиллы изнутри, читайте в статье Создание собственных навыков — понимание структуры помогает быстрее находить аномалии.
Ограничивайте разрешения скиллов. OpenClaw позволяет настраивать, к каким ресурсам получает доступ каждый скилл. Принцип минимальных привилегий — ключевой. Подробности в статье Разрешения и доступ в OpenClaw.
Изолируйте агента. Запуск OpenClaw с вредоносным скиллом на рабочем компьютере с доступом к корпоративным ресурсам — серьёзный риск. Рекомендации по изоляции описаны в материале Приватность и локальный запуск.
Мониторьте сетевой трафик агента. Утилиты типа lsof -i или специализированные инструменты позволяют видеть, куда обращается OpenClaw в реальном времени.
Текущий статус проблемы
По состоянию на 18 марта 2026 OpenClaw не устранил угрозу полностью. Сканирование через VirusTotal и механизм жалоб снижают риск, но не исключают его. Часть вредоносных скиллов всё ещё доступна в каталоге.
Кампания «ClawHavoc» наглядно демонстрирует: экосистема плагинов и расширений для AI-агентов требует такой же осторожности, как установка приложений из неизвестных источников. Доверие к «умному» инструменту не отменяет базовой цифровой гигиены.