OpenClaw торговая площадка навыков раскрыта с более чем тысячей вредоносных плагинов, предназначенных для кражи SSH-ключей и приватных ключей криптовалютных кошельков. Экосистема AI-инструментов с «предустановленным доверием» становится одним из самых недооцененных векторов атак в Web3.
(Предыстория: Bloomberg: почему a16z стала ключевой силой за американской политикой в области AI?)
(Дополнительный фон: статья Артура Хейза: AI вызовет крах кредитов, ФРС в конечном итоге «бесконечно печатать деньги», зажег биткойн)
Содержание статьи
- Текст больше не просто текст, а команда
- Урок на 1,78 миллиона долларов от Moonwell
- Предустановка доверия ошибочна
Основатель SlowMist Юй Сянь ранее в X-формате предупредил: в торговой площадке ClawHub OpenClaw (ранее clawbot) обнаружено около 1184 вредоносных навыка, способных похитить SSH-ключи, приватные ключи криптовалютных кошельков, пароли браузеров и даже создать обратную оболочку (reverse shell). Самые популярные вредоносные навыки содержат 9 уязвимостей и были скачаны тысячами раз.
Еще раз напоминаю: текст больше не просто текст, а команда. Для работы с AI-инструментами нужно использовать отдельную среду…
Skills очень опасны⚠️
Skills очень опасны⚠️
Skills очень опасны⚠️ https://t.co/GZ3hhathkE
— Cos(косинус)😶🌫️ (@evilcos) 20 февраля 2026
ClawHub — официальный маркетплейс навыков недавно взорвавшего популярность OpenClaw (ранее clawbot). Пользователи устанавливают там сторонние расширения, позволяющие AI-агенту выполнять задачи от развертывания кода до управления кошельками.
Безопасная компания Koi Security в конце января впервые раскрыла операцию под названием «ClawHavoc», предварительно выявив 341 вредоносный навык. Позже независимые исследователи и Antiy CERT расширили число до 1184, охватывая 12 аккаунтов публикации. Один из злоумышленников с псевдонимом hightower6eu загрузил 677 пакетов — более половины всего объема.
Другими словами, один человек заразил более половины всей площадки вредоносным контентом, а механизмы модерации полностью не справились.
Текст больше не просто текст, а команда
Эти вредоносные навыки не выглядят грубо. Они маскируются под ботов для торговли криптовалютой, трекеры Solana, стратегии Polymarket, YouTube-резюме и сопровождаются профессиональной документацией. Но настоящая угроза скрыта в разделе «предварительные условия» файла SKILL.md: там пользователь получает инструкцию скопировать из внешнего сайта запутанный Shell-скрипт и выполнить его в терминале.
Этот скрипт скачивает с командного сервера Atomic Stealer (AMOS) — платный (от 500 до 1000 долларов в месяц) инструмент для кражи информации на macOS.
AMOS сканирует браузерные пароли, SSH-ключи, переписки в Telegram, приватные ключи Phantom, API-ключи бирж и все файлы в папках на рабочем столе и в документах. Злоумышленники даже зарегистрировали несколько вариантов написания ClawHub (clawhub1, clawhubb, cllawhub) для фишинга доменов, а два навыка по Polymarket содержат обратные оболочки (reverse shell).
В файлах вредоносных навыков также встроены подсказки AI, предназначенные для обмана самого OpenClaw, чтобы AI «советовал» пользователю выполнить вредоносные команды. Юй Сянь подытожил: «Текст больше не просто текст, а команда.» При использовании AI-инструментов необходимо работать в отдельной среде.
Это и есть суть проблемы. Когда пользователь доверяет рекомендациям AI, а источник этих рекомендаций заражен, вся цепочка доверия ломается.
Урок на 1,78 миллиона долларов от Moonwell
Юй Сянь в том же предупреждении упомянул еще один инцидент: 15 февраля протокол DeFi-кредитования Moonwell из-за ошибки оракулов потерял 1,78 миллиона долларов.
Проблема заключалась в коде, рассчитывающем цену cbETH в долларах: он забыл умножить курс cbETH/ETH на цену ETH/USD, из-за чего cbETH был оценен примерно в 1,12 доллара вместо реальных 2200 долларов. Механизм ликвидации прошел по всем позициям, заложенным в cbETH, и 181 заемщик потерял около 2,68 миллиона долларов.
Блокчейн-аналитик Krum Pashov обнаружил, что в коммите на GitHub, связанном с этим кодом, указано «Co-Authored-By: Claude Opus 4.6». Аналитик NeuralTrust точно описал ловушку: «Код выглядит правильно, он компилируется и прошел базовые тесты, но в противодействующей среде DeFi он полностью провалился.»
Еще более тревожно, что три уровня защиты — ручной аудит, GitHub Copilot и OpenZeppelin Code Inspector — не обнаружили пропущенного умножения.
Сообщество назвало этот инцидент «большой безопасной аварией эпохи Vibe Coding». Юй Сянь ясно дал понять: угрозы безопасности Web3 уже выходят за рамки смарт-контрактов, AI-инструменты становятся новым вектором атаки.
Предустановка доверия ошибочна
Основатель OpenClaw Питер Штайнбергер внедрил систему жалоб в сообществе: при трех жалобах навык автоматически скрывается. Koi Security выпустила сканер Clawdex, но это лишь попытки исправить ситуацию «задним числом».
Главная проблема в том, что экосистема AI-инструментов изначально предполагает «доверие»: что опубликованные навыки безопасны, что рекомендации AI правильны, что сгенерированный код надежен. Когда эта система управляет криптокошельками и DeFi-протоколами, предустановка оказывается ошибочной — и цена за это — реальные деньги.
Примечание: данные VanEck показывают, что к концу 2025 года в сфере криптовалют уже будет более 10 000 AI-агентов, а к 2026 году их число превысит 1 миллион.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Криптовалютный кошелёк Phantom внезапно «завис»! Во время раздачи цена отображалась с ошибками, что вызвало волну требований пользователей о компенсации
Кошелек Phantom столкнулся с проблемами во время периода эйрдропа, из-за чего цена токенов и отображение баланса аккаунта показывали аномалии; хотя с активами все было в порядке, пользователи понесли потери от сделок, что вызвало требования о компенсации и кризис доверия. Это событие также усилило опасения по поводу безопасности блокчейна: некоторые злоумышленники могут воспользоваться сложившейся неразберихой, чтобы начать фишинговые атаки. Хотя техническая проблема уже исправлена, по-прежнему требуется улучшить пользовательский опыт и устойчивость системы.
CryptoCity59м назад
Bitcoin Depot примерно на 54 BTC было похищено; on-chain расследование показывает, что потери выше, чем официально сообщалось
Онлайн-детектив ZachXBT сообщил, что операторы Bitcoin Depot, управляющие биткоин-банкоматами (Bitcoin ATM), 23 марта обнаружили кражу примерно 50,9 BTC; расследование показало, что инцидент на самом деле произошел 20 марта, и после вывода средств примерно через 3 дня это было замечено, при этом денежные потоки на суммы большего размера пока не отмечены.
GateNews2ч назад
Odin Fun выпускает 4-е обновление о событиях атаки: 8 исправлений и работа по привлечению к ответственности ведутся параллельно
Один Фан, сооснователь, Боб Бодили заявил, что в связи с недавним инцидентом атак платформа проводит ряд восстановительных работ, включая откат состояния, отслеживание средств, устранение уязвимостей, аудит контрактов и взаимодействие с сообществом. Этот инцидент привел к крупным распродажам и аномальным выводам со счетов.
GateNews3ч назад
派盾:атака по принудительной ликвидации с самоуничтожением в Hyperliquid HLP, потери в размере 1,5 млн
Децентрализованная платформа деривативов Hyperliquid’s liquidity vault HLP понесла убыток примерно в 1,5 млн долларов: злоумышленник использовал низколиквидный токен FARTCOIN для проведения атаки «самоубийственного ликвидирования» (self-liquidation), системно задействовав механизм ADL, в результате чего HLP пришлось взять на себя потери. На поверхности балансовый убыток составил 3 млн долларов. Инцидент выявил уязвимости механизма ADL на рынках с низкой ликвидностью; злоумышленник мог параллельно проводить хеджирование для получения прибыли, что указывает на то, что операция больше похожа на арбитраж, а не на разрушение.
MarketWhisper3ч назад
Криптокошелёк Phantom устроил большой сбой! Во время периода эирдропа цена отображалась неправильно, что вызвало волну исков пользователей о возмещении
Кошелек Phantom во время периода эирдропа столкнулся с неполадками, из-за чего отображение цены токенов и остатка на счетах стало аномальным; хотя безопасность активов не была под угрозой, пользователи понесли убытки от сделок, что привело к требованиям о компенсации и кризису доверия. Этот инцидент также усилил опасения в отношении безопасности блокчейна: некоторые злоумышленники могут использовать сложившуюся путаницу, чтобы инициировать фишинговые атаки. Хотя техническая проблема уже устранена, для улучшения пользовательского опыта и стабильности системы все еще необходимы доработки.
CryptoCity4ч назад
Криптокошелёк Phantom вылетел из строя! Во время раздачи цена отображалась некорректно, что вызвало волну требований пользователей о компенсации
Кошелёк Phantom столкнулся с проблемами во время периода эйрдропа, из-за чего цена токенов и отображение баланса аккаунта стали некорректными. Хотя сохранность активов не была под угрозой, пользователи понесли потери при совершении транзакций, что привело к требованиям о компенсации и кризису доверия. Это событие также усилило опасения по поводу безопасности в блокчейне: некоторые злоумышленники могут воспользоваться сложившейся суматохой, чтобы запустить фишинговые атаки. Хотя технические проблемы уже устранены, ещё необходимо улучшить пользовательский опыт и стабильность системы.
CryptoCity7ч назад
