OpenClaw торговая площадка навыков раскрыта с более чем тысячей вредоносных плагинов, предназначенных для кражи SSH-ключей и приватных ключей криптовалютных кошельков. Экосистема AI-инструментов с «предустановленным доверием» становится одним из самых недооцененных векторов атак в Web3.
(Предыстория: Bloomberg: почему a16z стала ключевой силой за американской политикой в области AI?)
(Дополнительный фон: статья Артура Хейза: AI вызовет крах кредитов, ФРС в конечном итоге «бесконечно печатать деньги», зажег биткойн)
Содержание статьи
- Текст больше не просто текст, а команда
- Урок на 1,78 миллиона долларов от Moonwell
- Предустановка доверия ошибочна
Основатель SlowMist Юй Сянь ранее в X-формате предупредил: в торговой площадке ClawHub OpenClaw (ранее clawbot) обнаружено около 1184 вредоносных навыка, способных похитить SSH-ключи, приватные ключи криптовалютных кошельков, пароли браузеров и даже создать обратную оболочку (reverse shell). Самые популярные вредоносные навыки содержат 9 уязвимостей и были скачаны тысячами раз.
Еще раз напоминаю: текст больше не просто текст, а команда. Для работы с AI-инструментами нужно использовать отдельную среду…
Skills очень опасны⚠️
Skills очень опасны⚠️
Skills очень опасны⚠️ https://t.co/GZ3hhathkE
— Cos(косинус)😶🌫️ (@evilcos) 20 февраля 2026
ClawHub — официальный маркетплейс навыков недавно взорвавшего популярность OpenClaw (ранее clawbot). Пользователи устанавливают там сторонние расширения, позволяющие AI-агенту выполнять задачи от развертывания кода до управления кошельками.
Безопасная компания Koi Security в конце января впервые раскрыла операцию под названием «ClawHavoc», предварительно выявив 341 вредоносный навык. Позже независимые исследователи и Antiy CERT расширили число до 1184, охватывая 12 аккаунтов публикации. Один из злоумышленников с псевдонимом hightower6eu загрузил 677 пакетов — более половины всего объема.
Другими словами, один человек заразил более половины всей площадки вредоносным контентом, а механизмы модерации полностью не справились.
Текст больше не просто текст, а команда
Эти вредоносные навыки не выглядят грубо. Они маскируются под ботов для торговли криптовалютой, трекеры Solana, стратегии Polymarket, YouTube-резюме и сопровождаются профессиональной документацией. Но настоящая угроза скрыта в разделе «предварительные условия» файла SKILL.md: там пользователь получает инструкцию скопировать из внешнего сайта запутанный Shell-скрипт и выполнить его в терминале.
Этот скрипт скачивает с командного сервера Atomic Stealer (AMOS) — платный (от 500 до 1000 долларов в месяц) инструмент для кражи информации на macOS.
AMOS сканирует браузерные пароли, SSH-ключи, переписки в Telegram, приватные ключи Phantom, API-ключи бирж и все файлы в папках на рабочем столе и в документах. Злоумышленники даже зарегистрировали несколько вариантов написания ClawHub (clawhub1, clawhubb, cllawhub) для фишинга доменов, а два навыка по Polymarket содержат обратные оболочки (reverse shell).
В файлах вредоносных навыков также встроены подсказки AI, предназначенные для обмана самого OpenClaw, чтобы AI «советовал» пользователю выполнить вредоносные команды. Юй Сянь подытожил: «Текст больше не просто текст, а команда.» При использовании AI-инструментов необходимо работать в отдельной среде.
Это и есть суть проблемы. Когда пользователь доверяет рекомендациям AI, а источник этих рекомендаций заражен, вся цепочка доверия ломается.
Урок на 1,78 миллиона долларов от Moonwell
Юй Сянь в том же предупреждении упомянул еще один инцидент: 15 февраля протокол DeFi-кредитования Moonwell из-за ошибки оракулов потерял 1,78 миллиона долларов.
Проблема заключалась в коде, рассчитывающем цену cbETH в долларах: он забыл умножить курс cbETH/ETH на цену ETH/USD, из-за чего cbETH был оценен примерно в 1,12 доллара вместо реальных 2200 долларов. Механизм ликвидации прошел по всем позициям, заложенным в cbETH, и 181 заемщик потерял около 2,68 миллиона долларов.
Блокчейн-аналитик Krum Pashov обнаружил, что в коммите на GitHub, связанном с этим кодом, указано «Co-Authored-By: Claude Opus 4.6». Аналитик NeuralTrust точно описал ловушку: «Код выглядит правильно, он компилируется и прошел базовые тесты, но в противодействующей среде DeFi он полностью провалился.»
Еще более тревожно, что три уровня защиты — ручной аудит, GitHub Copilot и OpenZeppelin Code Inspector — не обнаружили пропущенного умножения.
Сообщество назвало этот инцидент «большой безопасной аварией эпохи Vibe Coding». Юй Сянь ясно дал понять: угрозы безопасности Web3 уже выходят за рамки смарт-контрактов, AI-инструменты становятся новым вектором атаки.
Предустановка доверия ошибочна
Основатель OpenClaw Питер Штайнбергер внедрил систему жалоб в сообществе: при трех жалобах навык автоматически скрывается. Koi Security выпустила сканер Clawdex, но это лишь попытки исправить ситуацию «задним числом».
Главная проблема в том, что экосистема AI-инструментов изначально предполагает «доверие»: что опубликованные навыки безопасны, что рекомендации AI правильны, что сгенерированный код надежен. Когда эта система управляет криптокошельками и DeFi-протоколами, предустановка оказывается ошибочной — и цена за это — реальные деньги.
Примечание: данные VanEck показывают, что к концу 2025 года в сфере криптовалют уже будет более 10 000 AI-агентов, а к 2026 году их число превысит 1 миллион.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Атаки отравления Ethereum: как защитить себя от мошенников - U.Today
Атаки на отравление адресов на пользователей Ethereum становятся все более автоматизированными, обманывая жертв, чтобы они отправляли деньги на поддельные кошельки. Недавние данные показывают значительные потери и выявляют экономические стимулы, являющиеся движущей силой этих атак, подчеркивая необходимость осторожности среди пользователей.
UToday2ч назад
Центр кибербезопасности Китая опубликовал предупреждение об угрозе безопасности OpenClaw, количество активных активов на территории страны составляет примерно 2.3 тыс.
Данные Центра уведомления об информации по кибербезопасности и информационной безопасности Китая показывают, что в мире насчитывается более 200 000 активных интернет-активов OpenClaw, из которых около 23 000 находятся на территории Китая, преимущественно в районах с высокой концентрацией сетевых ресурсов. Эти активы сталкиваются с угрозами безопасности, поведение интеллектуальных агентов трудно контролировать, что может привести к удалению данных, краже информации и другим серьезным последствиям.
GateNews4ч назад
Мошенничество увеличилось после снижения комиссий в Ethereum? Атаки отравления адресов резко возросли, микротранзакции USDT подскочили на 612%
С снижением затрат на транзакции Ethereum участились атаки с отравлением адресов. Злоумышленники создают поддельные адреса, похожие на оригинальные, и совершают микротрансферты, чтобы обманом заставить пользователей отправить средства на эти адреса. После обновления Fusaka количество микротрансакций резко возросло, что привело к значительным убыткам. Хотя вероятность успеха атак низкая, их продолжают проводить из-за низких затрат. Пользователям необходимо тщательно проверять адреса и быть бдительными в отношении рисков.
GateNews8ч назад
OpenClaw взрывается в китайском сообществе торговцев AI: розничные трейдеры используют AI для торговли криптовалютами, некоторые заработали почти 3000 долларов за 48 часов
OpenClaw недавно быстро набирает популярность в Китае, привлекая большое количество разработчиков и инвесторов для попыток автоматизированной торговли с использованием ИИ. Его влияние распространилось на различные группы населения, но он также сталкивается с проблемами безопасности и надежности. Несмотря на снижение технического барьера входа для торговли, инвестиционные решения по-прежнему требуют контроля человека, а рыночные настроения постепенно меняются в условиях колебаний.
GateNews8ч назад
Пимфу: ClawHub имеет риск внедрения backdoor, 21% топ Skills внесены в список высокого риска
Компания Slowmist предупредила об угрозах безопасности в ClawHub, поскольку он зависит от единого входа через GitHub, что облегчает кражу учетных данных разработчиков и атаки на цепочку поставок. GoPlus провела сканирование топ-100 Skills и обнаружила, что 21% содержат критические риски. Кроме того, SkillHub компании Tencent вызвал споры об авторских правах, когда основатели раскритиковали отсутствие поддержки проектов с открытым исходным кодом. Рекомендуется пользователям внимательно выбирать Skills и применять меры безопасности для защиты от потенциальных атак.
MarketWhisper8ч назад
Дело о краже криптовалюты на сумму 6.9 миллиона долларов: сингапурский мужчина приговорен к двум годам тюремного заключения за участие в хакерской деятельности
Сингапурский суд приговорил мужчину к двум годам тюремного заключения после его осуждения за участие в краже криптовалют, которая привела к убыткам примерно в 6,9 млн долларов. Дело возникло в результате незаконного доступа хакеров к криптовалютным кошелькам и передачи активов. Полиция успешно определила местонахождение и арестовала членов преступной группировки путем отслеживания потоков средств. Правоохранительные органы заявили, что киберпреступность остается активной в сфере цифровых активов, и различные страны усиливают сотрудничество для повышения мер безопасности.
GateNews8ч назад
