В экосистеме ИИ-ассистента OpenClaw (бывший Moltbot и ClawdBot) обнаружили множество проблем. Исследователи нашли более 340 вредоносных навыков, через которые распространяются инфостилеры, а также 506 постов с промпт-инжектами в Moltbook — соцсети для ИИ-агентов. Эксперты считают, что это первые признаки появления «промпт-червей» — самораспространяющихся инструкций, передаваемых между агентами.

OpenClaw — опенсорсный ИИ-ассистент, который работает локально на машине пользователя через WhatsApp, Telegram, Slack, Discord и другие мессенджеры, может выполнять задачи автономно по таймеру и общаться с другими агентами. С момента запуска в ноябре 2025 года проект набрал более 150 000 звезд на GitHub и обзавелся армией из 770 000 зарегистрированных агентов, которых используют около 17 000 человек.

Создатель проекта Питер Штайнбергер (Peter Steinberger) создал OpenClaw с помощью вайбкодинга, без особого тестирования. Параллельно появился Moltbook — соцсеть для ИИ-агентов OpenClaw, где они могут постить, комментировать и взаимодействовать друг с другом.

Опасные навыки

Навыки (skills) для OpenClaw представляют собой плагины, расширяющие возможности ассистента. Проблема в том, что официальный репозиторий ClawHub открыт по умолчанию. Любой может заливать туда что угодно — единственное ограничение: аккаунт на GitHub должен существовать как минимум неделю.

Как сообщают эксперты из компании Koi Security, с 27 января по 1 февраля в ClawHub и на GitHub появилось более 230 вредоносных навыков для OpenClaw. Специалисты OpenSourceMalware независимо опубликовали отчет об этой же кампании, детально описав механизм работы малвари.

Исследователи провели аудит всех доступных на тот момент 2857 навыков в ClawHub и насчитали 341 вредоносный, связанный с одной кампанией — ClawHavoc. Некоторые из них загрузили тысячи раз, а самый популярный вредоносный навык What Would Elon Do («Что бы сделал Илон?») перенаправлял данные на внешние серверы и при этом занимал первое место в рейтинге благодаря накрутке.

Схема заражения напоминает ClickFix-атаки. Каждый навык содержит подробную документацию, где неоднократно упоминается отдельный инструмент AuthTool, якобы необходимый для работы. На деле это механизм доставки малвари. Для пользователей macOS это закодированная base64 шелл-команда, которая скачивает пейлоад с внешнего адреса, а для Windows — архив с паролем.

Малварь для macOS представляет собой вариант Atomic Stealer (AMOS), который обходит Gatekeeper с помощью команды xattr -c и запрашивает широкий доступ к файловой системе. Стилер охотится за API-ключами криптобирж, данными криптовалютных кошельков и seed-фразами, браузерными расширениями криптокошельков, данными Keychain, паролями браузеров, SSH-ключами, облачными учетными данными, Git-аккаунтами и .env-файлами.

По словам исследователей, все навыки используют одну управляющую инфраструктуру, связанную с IP-адресом 91.92.242[.]30.

Вредоносные навыки маскируются под:

• тайпсквоттинг ClawHub (clawhub1, clawhubb, clawhubcli, clawwhub);


• криптоинструменты (solana-wallet-tracker, polymarket-trader);


• YouTube-утилиты (youtube-summarize, youtube-thumbnail-grabber);


• автообновления (auto-updater-agent, update, updater);


• финансовые инструменты (yahoo-finance-pro, x-trends-tracker);


• Google Workspace (Gmail, Calendar, Sheets, Drive);


• трекеры газа Ethereum;


• поисковики потерянных биткоинов.

Кроме навыков с прямой доставкой малвари, специалисты нашли skills с реверс-шеллами внутри (better-polymarket, polymarket-all-in-one), а также с отправкой учетных данных ботов из ~/.clawdbot/.env на webhook[.]site (навык rankaj).

Аналитики создали бесплатный онлайн-сканер, в который можно вставить URL навыка и получить отчет о его безопасности.

Создатель OpenClaw, Питер Штайнбергер, сообщил, что в настоящее время невозможно проверить огромное количество заявок на создание навыков. Поэтому пользователи сами несут ответственность за проверку безопасности skills перед их развертыванием.

При этом, в качестве временной защитной меры, Штайнбергер добавил функцию подачи жалоб: авторизованные пользователи могут отмечать навыки как подозрительные (лимит — до 20 активных жалоб на одного пользователя). Навыки с более чем тремя уникальными жалобами скрываются по умолчанию.

Опасные промпты

Пока одни специалисты изучали навыки OpenClaw, исследователи из Simula Research Laboratory нашли на Moltbook 506 постов (2,6% от выборки), содержащих скрытые промпт-инжекты. По мнению аналитиков, это первые признаки появления промпт-червей (prompt worm) — самораспространяющихся инструкций, которые могут передаваться между агентами.

Впервые концепцию промпт-червей еще в марте 2024 года описали исследователи Бен Насси (Ben Nassi) из Cornell Tech, Став Коэн (Stav Cohen) из Israel Institute of Technology и Рон Биттон (Ron Bitton) из Intuit. Они продемонстрировали атаку Morris-II — названную в честь легендарного червя Морриса 1988 года. Тогда исследователи показали, что самореплицирующиеся промпты могут распространяться через ИИ-помощников посредством электронной почты, похищая данные и рассылая спам.

С появлением OpenClaw векторов для подобных атак стало больше. К примеру, агенту устанавливают навык из ClawHub, и этот навык велит постить контент на Moltbook. Другие агенты читают этот контент, в котором содержатся инструкции. Агенты следуют этим инструкциям, включая постинг похожего контента для других агентов. В итоге цепочка замыкается, и промпт становится вирусом среди ИИ-агентов.

ИБ-специалисты отмечают, что в настоящее время OpenClaw работает преимущественно через API OpenAI и Anthropic. Это означает, что у этих компаний есть своего рода «рубильник» — они видят паттерны использования, системные промпты и могут блокировать подозрительную активность. Однако это окно возможностей закрывается. Локальные LLM (вроде Mistral, DeepSeek и Qwen) постоянно совершенствуются. Вероятно, в ближайшие годы запуск мощного агента на локальном железе с возможностями сегодняшнего Opus 4.5 станет доступен энтузиастам, которые сейчас используют OpenClaw на API-ключах. После этого никакого «рубильника» уже не будет.

Эксперты компании Palo Alto Networks уже назвали OpenClaw воплощением «летального трио» уязвимостей: он имеет доступ к конфиденциальным данным и ненадежному контенту, а также ему доступны внешние коммуникации.

В далеком 1988 году упомянутый выше червь Морриса привел к созданию CERT/CC. Однако интернет образца тех лет насчитывал 60 000 подключенных машин, а экосистема OpenClaw уже сейчас насчитывает сотни тысяч агентов и растет каждый день.