OpenClaw торговая площадка навыков раскрыта с более чем тысячей вредоносных плагинов, предназначенных для кражи SSH-ключей и приватных ключей криптовалютных кошельков. Экосистема AI-инструментов с «предустановленным доверием» становится одним из самых недооцененных векторов атак в Web3.
(Предыстория: Bloomberg: почему a16z стала ключевой силой за американской политикой в области AI?)
(Дополнительный фон: статья Артура Хейза: AI вызовет крах кредитов, ФРС в конечном итоге «бесконечно печатать деньги», зажег биткойн)
Содержание статьи
- Текст больше не просто текст, а команда
- Урок на 1,78 миллиона долларов от Moonwell
- Предустановка доверия ошибочна
Основатель SlowMist Юй Сянь ранее в X-формате предупредил: в торговой площадке ClawHub OpenClaw (ранее clawbot) обнаружено около 1184 вредоносных навыка, способных похитить SSH-ключи, приватные ключи криптовалютных кошельков, пароли браузеров и даже создать обратную оболочку (reverse shell). Самые популярные вредоносные навыки содержат 9 уязвимостей и были скачаны тысячами раз.
Еще раз напоминаю: текст больше не просто текст, а команда. Для работы с AI-инструментами нужно использовать отдельную среду…
Skills очень опасны⚠️
Skills очень опасны⚠️
Skills очень опасны⚠️ https://t.co/GZ3hhathkE
— Cos(косинус)😶🌫️ (@evilcos) 20 февраля 2026
ClawHub — официальный маркетплейс навыков недавно взорвавшего популярность OpenClaw (ранее clawbot). Пользователи устанавливают там сторонние расширения, позволяющие AI-агенту выполнять задачи от развертывания кода до управления кошельками.
Безопасная компания Koi Security в конце января впервые раскрыла операцию под названием «ClawHavoc», предварительно выявив 341 вредоносный навык. Позже независимые исследователи и Antiy CERT расширили число до 1184, охватывая 12 аккаунтов публикации. Один из злоумышленников с псевдонимом hightower6eu загрузил 677 пакетов — более половины всего объема.
Другими словами, один человек заразил более половины всей площадки вредоносным контентом, а механизмы модерации полностью не справились.
Текст больше не просто текст, а команда
Эти вредоносные навыки не выглядят грубо. Они маскируются под ботов для торговли криптовалютой, трекеры Solana, стратегии Polymarket, YouTube-резюме и сопровождаются профессиональной документацией. Но настоящая угроза скрыта в разделе «предварительные условия» файла SKILL.md: там пользователь получает инструкцию скопировать из внешнего сайта запутанный Shell-скрипт и выполнить его в терминале.
Этот скрипт скачивает с командного сервера Atomic Stealer (AMOS) — платный (от 500 до 1000 долларов в месяц) инструмент для кражи информации на macOS.
AMOS сканирует браузерные пароли, SSH-ключи, переписки в Telegram, приватные ключи Phantom, API-ключи бирж и все файлы в папках на рабочем столе и в документах. Злоумышленники даже зарегистрировали несколько вариантов написания ClawHub (clawhub1, clawhubb, cllawhub) для фишинга доменов, а два навыка по Polymarket содержат обратные оболочки (reverse shell).
В файлах вредоносных навыков также встроены подсказки AI, предназначенные для обмана самого OpenClaw, чтобы AI «советовал» пользователю выполнить вредоносные команды. Юй Сянь подытожил: «Текст больше не просто текст, а команда.» При использовании AI-инструментов необходимо работать в отдельной среде.
Это и есть суть проблемы. Когда пользователь доверяет рекомендациям AI, а источник этих рекомендаций заражен, вся цепочка доверия ломается.
Урок на 1,78 миллиона долларов от Moonwell
Юй Сянь в том же предупреждении упомянул еще один инцидент: 15 февраля протокол DeFi-кредитования Moonwell из-за ошибки оракулов потерял 1,78 миллиона долларов.
Проблема заключалась в коде, рассчитывающем цену cbETH в долларах: он забыл умножить курс cbETH/ETH на цену ETH/USD, из-за чего cbETH был оценен примерно в 1,12 доллара вместо реальных 2200 долларов. Механизм ликвидации прошел по всем позициям, заложенным в cbETH, и 181 заемщик потерял около 2,68 миллиона долларов.
Блокчейн-аналитик Krum Pashov обнаружил, что в коммите на GitHub, связанном с этим кодом, указано «Co-Authored-By: Claude Opus 4.6». Аналитик NeuralTrust точно описал ловушку: «Код выглядит правильно, он компилируется и прошел базовые тесты, но в противодействующей среде DeFi он полностью провалился.»
Еще более тревожно, что три уровня защиты — ручной аудит, GitHub Copilot и OpenZeppelin Code Inspector — не обнаружили пропущенного умножения.
Сообщество назвало этот инцидент «большой безопасной аварией эпохи Vibe Coding». Юй Сянь ясно дал понять: угрозы безопасности Web3 уже выходят за рамки смарт-контрактов, AI-инструменты становятся новым вектором атаки.
Предустановка доверия ошибочна
Основатель OpenClaw Питер Штайнбергер внедрил систему жалоб в сообществе: при трех жалобах навык автоматически скрывается. Koi Security выпустила сканер Clawdex, но это лишь попытки исправить ситуацию «задним числом».
Главная проблема в том, что экосистема AI-инструментов изначально предполагает «доверие»: что опубликованные навыки безопасны, что рекомендации AI правильны, что сгенерированный код надежен. Когда эта система управляет криптокошельками и DeFi-протоколами, предустановка оказывается ошибочной — и цена за это — реальные деньги.
Примечание: данные VanEck показывают, что к концу 2025 года в сфере криптовалют уже будет более 10 000 AI-агентов, а к 2026 году их число превысит 1 миллион.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Протокол Venus подвергся хаку с потерями в размере 3,7 млн долларов США: $THE низколиквидные токены стали уязвимостью для атаки, DeFi на BNB Chain снова в опасности
Децентрализованный протокол кредитования Venus Protocol подвергся атаке примерно на 3,7 млн доллара 15 марта 2026 года, что привело к безвозвратным убыткам на сумму 2,18 млн доллара. Злоумышленник провел сложную атаку, манипулируя ценой маломобильного токена $THE и комбинируя онцепные кредиты с внецепными деривативами, что выявило системные риски. Инцидент побудил индустрию переоценить стандарты приемлемости залогов и разработку параметров риска.
ChainNewsAbmedia54м назад
Протокол Venus подвергся атаке «ликвидационной бомбы»: хакер выдавал себя за обычного пользователя в течение 9 месяцев, создав задолженность на сумму 2,15 млн долларов
Протокол кредитования Venus Protocol на BNB Chain подвергся атаке хакеров, планировавшейся в течение 9 месяцев, 16 марта. Атакующие в итоге вывели примерно 5,07 млн долларов активов, что привело к 2,15 млн долларов безнадежных долгов. Злоумышленники манипулировали ценой токена THE для спровоцирования ликвидации, а Venus реагировал снижением коэффициента обеспечения на нескольких рынках. Это демонстрирует риски протоколов DeFi в отношении токенов с низкой ликвидностью.
動區BlockTempo1ч назад
Центр по управлению китайским цифровым юанем опубликовал три типа мошеннических схем
Центр по управлению операциями цифрового юаня в Китае обнародовал три вида мошеннических схем: мошенничество под видом продвижения с использованием пирамидальных схем, обман с возвратом средств за накрутку заказов, а также заманивание для скачивания поддельных приложений с целью кражи информации и денег.
GateNews2ч назад
Белый хакер раскрыл серьёзную уязвимость протокола Injective, затрагивающую активы на сумму 500 млн долларов, споры о вознаграждении не разрешены
Белый хакер f4lc0n обнаружил серьезную уязвимость в протоколе Injective, которая могла привести к извлечению активов на сумму 500 миллионов долларов. Несмотря на исправление, он получил вознаграждение в размере 50 тысяч долларов, что ниже максимального стандарта в 500 тысяч долларов. f4lc0n оспорил это решение и планирует продолжить разоблачение этого вопроса.
GateNews2ч назад
Venus Protocol подверглась атаке на лимит предложения, потеряв 3,7 миллиона долларов
Децентрализованная платформа заимствования Venus Protocol недавно стала жертвой манипулятивной атаки на предельное предложение токена Thena с убытками, превышающими 3,7 млн долларов. Злоумышленник в течение 9 месяцев медленно накапливал токены, в конечном итоге обойдя ограничение предложения и манипулируя ценой, что привело к массовому заимствованию активов. Платформа приостановила соответствующие функции заимствования и вывода средств для управления рисками, что демонстрирует системную уязвимость DeFi-протоколов в областях долгосрочного мониторинга и токенов с низкой ликвидностью.
MarketWhisper4ч назад
Aave и CoW Swap опубликовали противоположные аналитические отчеты по случаю убытков в 50 миллионов долларов из-за высокого проскальзывания при торговле
16 марта Aave и CoW Swap опубликовали отдельные отчеты по инциденту с потерями в размере 50 млн на торговле с высокой проскальзыванием. Aave считает, что проблема кроется в недостатке ликвидности на рынке, тогда как CoW Swap указывает на устаревшие ограничения по газу и то, что сделка не была подана в цепь. Точки зрения противоположны, и обе стороны не упоминули деятельность MEV-бота на сумму примерно 44 млн.
GateNews5ч назад
