OpenClaw, популярный ИИ-агент с открытым исходным кодом, который, по мнению компаний, специализирующихся на безопасности, «по умолчанию небезопасен», интегрировал сканирование вредоносных программ VirusTotal в свою торговую площадку навыков ClawHub. Это произошло после того, как исследователи в области безопасности задокументировали вредоносные расширения и широкомасштабное несанкционированное развертывание в корпоративных сетях.
Интеграция автоматически сканирует все опубликованные навыки перед тем, как сделать их доступными для загрузки, согласно анонсу основателя OpenClaw Питера Штайнбергера, консультанта по безопасности Джеймисона О’Райли и Бернардо Кинтеро из VirusTotal. Навыки, получившие вердикт «безопасен», автоматически одобряются, тогда как подозрительные получают предупреждения, а вредоносные немедленно блокируются. Ежедневно проводится повторное сканирование всех активных навыков.
«По мере роста экосистемы OpenClaw расширяется и поверхность атаки, — говорится в анонсе. — Мы уже видели задокументированные случаи попыток злоумышленников использовать платформы ИИ-агентов. Мы не ждем, пока это станет большей проблемой».
Сунил Варки, консультант Beagle Security, назвал интеграцию «разумным и долгожданным шагом», который позволяет отфильтровывать известные вредоносные программы. «Большинство атак по-прежнему полагаются на повторное использование известных вредоносных программ, а не на дорогостоящую разработку эксплойтов нулевого дня, поэтому фильтрация известных вредоносных артефактов значительно повышает планку и улучшает гигиену торговой площадки», — сказал Варки.
Как работает сканирование
Система использует Code Insight от VirusTotal на базе Gemini от Google, который анализирует полные пакеты навыков на предмет вредоносного поведения.
«Он не просто смотрит на то, что навык заявляет о себе — он резюмирует, что код фактически делает с точки зрения безопасности: загружает ли он и выполняет ли внешний код, получает ли доступ к конфиденциальным данным, выполняет ли сетевые операции или встраивает ли инструкции, которые могут принудить агента к небезопасному поведению», — говорится в анонсе OpenClaw.
Когда разработчики публикуют навыки в ClawHub, платформа создает хеш SHA-256 и проверяет его в базе данных VirusTotal, загружая полный пакет для анализа Code Insight, если он не найден. Интеграция использует ту же технологию, которую VirusTotal предоставляет репозиторию ИИ-моделей Hugging Face, согласно анонсу.
Что вызвало реакцию
Инициатива сканирования последовала за серией инцидентов безопасности, задокументированных несколькими фирмами за последние две недели. Аудит Koi Security от 1 февраля всех 2857 навыков ClawHub выявил 341 вредоносный в рамках кампании под названием «ClawHavoc».
Профессионально выглядящие навыки для криптовалютных инструментов и утилит YouTube содержали поддельные предварительные требования, которые устанавливали кейлоггеры и вредоносное ПО Atomic macOS Stealer, способное извлекать криптовалютные кошельки, данные браузера и системные учетные данные. Отчет Корнеллского университета показал, что 26% пакетов содержали уязвимости, и описал OpenClaw как «абсолютный кошмар» с точки зрения безопасности. Token Security обнаружил, что 22% их корпоративных клиентов имеют сотрудников, использующих агент без одобрения ИТ-отдела.
Поставщик решений в области безопасности Noma сообщил, что 53% его корпоративных клиентов предоставили OpenClaw привилегированный доступ в течение одного выходного дня, согласно анализу Gartner от 30 января. Gartner охарактеризовал OpenClaw как «мощную демонстрацию автономного ИИ для повышения производительности предприятий, но неприемлемую кибербезопасную уязвимость» и рекомендовал предприятиям «немедленно блокировать загрузки и трафик OpenClaw», описывая теневые развертывания как создание «единых точек отказа, поскольку скомпрометированные хосты раскрывают злоумышленникам ключи API, токены OAuth и конфиденциальные разговоры».
OpenClaw превзошел 150 000 звезд на GitHub в конце января, набрав вирусную популярность в социальных сетях. Платформа, запущенная в ноябре 2025 года и дважды переименованная из-за споров о товарных знаках, позволяет создавать «навыки», разработанные сообществом, которые работают с полным доступом к инструментам и данным агента — архитектура, которую использовал ClawHavoc.
Ограничения сканирования вредоносных программ
Хотя интеграция с VirusTotal решает проблему известных вредоносных программ на торговой площадке навыков, OpenClaw признал значительные ограничения в анонсе. «Давайте будем честны: это не панацея, — говорится в анонсе. — Навык, который использует естественный язык для инструктажа агента совершить вредоносное действие, не вызовет срабатывания сигнатуры вируса. Тщательно составленный пейлоад для инъекции промпта не появится в базе данных угроз».
Основной риск, связанный с ИИ-агентами, заключается в инъекции промпта, когда вредоносные инструкции, встроенные в электронные письма или документы, могут перехватить поведение агента без использования традиционных уязвимостей программного обеспечения, согласно анализу CrowdStrike. Социальная сеть Moltbook для агентов OpenClaw проиллюстрировала эти риски, когда раскрыла 1,5 миллиона токенов API и 35 000 адресов электронной почты после неправильной конфигурации базы данных.
Варки предостерег, что «угрозы, такие как инъекция промпта, злоупотребление логикой и неправомерное использование легитимных инструментов, находятся вне сферы действия сканирования вредоносных программ», добавив, что интеграция должна рассматриваться «как основа для более широкого управления и технических средств контроля, а не как конечная цель». Интеграция с VirusTotal — это первый шаг в рамках «более широкой инициативы по обеспечению безопасности», как назвал ее Штайнбергер, с планами опубликовать модель угроз, дорожную карту безопасности и результаты аудита на trust.openclaw.ai.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain
