Тридцать навыков ClawHub, опубликованных одним автором, тайно перехватывают управление AI-агентами и создают рой для массового майнинга криптовалюты — без какого-либо вредоносного ПО или согласия пользователя.
Исследователь из компании по безопасности агентивного ИИ Manifold, Акш Шарма, обнаружил эти навыки на ClawHub — реестре и маркетплейсе для навыков OpenClaw.
Пользователь ClawHub под псевдонимом “imaflytok” опубликовал эти навыки, которые набрали около 9800 загрузок. Шарма сообщил изданию The Register, что эта кампания — которую он назвал «ClawSwarm» — отличается от прошлых попыток распространения вредоносного кода ClawHub тем, что она не использует вредоносное ПО и не нацелена на людей.
Вместо этого ClawSwarm нацелен на самих агентов и файлы SKILL.md — документы, которые дают агентам инструкции о том, как взаимодействовать с другими системами.
«ClawSwarm — это не раскрытие уязвимости», — сказал нам Шарма. «Нет изъяна, который нужно исправлять, и в инфраструктуре нет ничего скрытого. Это проект с открытым исходным кодом на GitHub с общедоступной документацией, группой в Telegram и токеном в публичной сети».
Кампания предполагает, что пользователь устанавливает на вид безобидный навык — они позиционируются как что угодно: от помощника cron (903 загрузки) до навыка безопасности агента (685 загрузок), наблюдателя за китами (347 загрузок), кроссплатформенного постера (292 загрузки) и интеграции с рынком предсказаний (154 загрузки).
Затем AI-агент регистрируется на «onlyflies.buzz» — сайте, посвященном токенам $FLY и «провокационному» искусству.
После регистрации на внешнем сервере агент следует инструкциям в файле SKILL.md и, следовательно, сообщает о своем имени и возможностях третьей стороне, а также об установленных у него навыках.
Агент сохраняет учетные данные на диске, проверяется каждые четыре часа и, при условии наличия нужных навыков, генерирует криптокошелек Hedera и регистрирует приватный ключ на том же сервере. Человек-пользователь не одобряет эту деятельность и не видит, как она происходит.
Помимо того, что ClawSwarm является названием кампании по созданию крипто-роя, задокументированной Шармой, это также фреймворк агентивных навыков с открытым исходным кодом на GitHub. Навыки imaflytok, открывающиеся на onlyflies.buzz, являются одной из таких реализаций этого фреймворка.
«Вы можете прочитать все это и прийти к выводу, что это небольшое криптосообщество строит агентную инфраструктуру. Возможно, это так», — написал Шарма. «Но механизм идентичен независимо от намерения: AI-агент тайно регистрируется на стороннем сервере, сообщает о своих возможностях, генерирует криптографические ключи и принимает удаленные задачи — и все это без инициирования или одобрения со стороны пользователя».
Это похоже на более ранние кампании по фармингу токенов Tea Protocol, в рамках которых более 150 000 спамных пакетов наводнили реестр npm для фарминга очков Tea.
По словам Шармы, ClawSwarm «следует той же схеме», но использует навыки вместо пакетов npm. «Независимо от того, являются ли экземпляры ClawSwarm законным экспериментом в области экономики агентов или воронкой рекрутинга для спекулятивной криптовалюты, результат для пользователя одинаков: его агент делает то, о чем он не просил, для кого-то, кого он не знает, с ключами, которые он не авторизовал», — написал он.
Администраторы ClawHub не сразу ответили на запросы The Register, как и разработчики легитимного фреймворка ClawSwarm с открытым исходным кодом.
Шарма утверждает, что администраторы находятся в затруднительном положении, поскольку это не совсем проблема безопасности, несмотря на то, что агенты присоединяются к сети и генерируют кошельки без одобрения их пользователя-человека.
«Слой реестра — неподходящее место для решения этой проблемы», — сказал он The Register. «Сканер, ищущий вредоносные шаблоны кода, ничего не находит: вызовы cURL чистые, SDK легитимен. Что необходимо, так это видимость в реальном времени того, что агенты на самом деле делают после установки навыка. Реестры могли бы потребовать раскрытия сетевых конечных точек и генерации кошельков в манифестах навыков, но это вопрос политики, а не безопасности». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
