1184 złośliwych Skills w marketplace OpenClaw: atak na łańcuch dostaw agentów AI

23 czerwca 2026 Palo Alto Networks Unit 42 opublikowało kompleksową analizę kampanii ClawHavoc — ataku na łańcuch dostaw wymierzonego w ClawHub, marketplace rozszerzeń dla popularnego agenta AI OpenClaw.

Co to jest OpenClaw i ClawHub

OpenClaw to personalny asystent AI uruchamiany lokalnie, łączący modele językowe z ponad 50 integracjami (WhatsApp, Slack, GitHub, lokalne pliki). Jego ekosystem rozrósł się o ClawHub — marketplace, gdzie użytkownicy publikują i pobierają gotowe „Skills" (zestawy konfiguracji narzędzi i promptów). Instalacja Skill sprowadza się do jednego polecenia.

Skala i metody ataku

Analitycy Antiy CERT zidentyfikowali 1 184 złośliwe pakiety Skills przypisane do 12 kont atakujących. Kampania trwała od końca stycznia 2026. Atakujący ukryli złośliwy ładunek na trzy sposoby: staged downloads (pobieranie malware w kilku etapach, by uniknąć statycznej detekcji), odwrócone powłoki Pythona (reverse shell) oraz bezpośrednie wykradanie danych — kluczy API, sesji przeglądarki i tokenów dostępu przechowywanych przez agenta.

Dlaczego agenci AI są szczególnie narażeni

Użytkownicy OpenClaw powierzają agentowi szerokie uprawnienia do lokalnego środowiska. Skill uruchamia się w kontekście agenta — z dostępem do plików, shell'a i skonfigurowanych integracji. Nie ma warstwy sandboxu analogicznej do uprawnień aplikacji mobilnych. Złośliwa Skill ma od razu dostęp do wszystkiego, co ma agent.

To nie pierwszy przypadek takiego ataku (w 2025 r. podobne kampanie dotknęły rejestr PyPI), ale skala i precyzja celu (agent z dostępem do komunikatorów i systemów firmowych) nadają temu incydentowi inną wagę. Twórcy OpenClaw ogłosili wdrożenie weryfikacji tożsamości wydawców i skanowania statycznego dla nowych pakietów.