En sikkerhedsaudit af 2.857 skills på ClawHub har afsløret 341 ondsindede skills fordelt på flere kampagner. Det viser en ny rapport fra sikkerhedsfirmaet Koi Security, som har døbt operationen “ClawHavoc”. For udviklere der bruger OpenClaw som AI-assistent er beskeden klar: vær ekstremt kritisk over for tredjepartsudvidelser.
Hvad er ClawHub?
ClawHub er en markedsplads for OpenClaw-skills — tredjepartsudvidelser der giver din AI-agent nye funktioner. Tænk på det som en app store for din bot. Problemet: enhver med en GitHub-konto (min. én uge gammel) kan uploade skills. Der er ingen sikkerhedsgennemgang før publicering.
Sådan fungerer angrebet
Angriberne har udnyttet en simpel men effektiv social engineering-teknik. De ondsindede skills ser professionelle ud — god dokumentation, troværdige navne. Men i en “Prerequisites”-sektion beder de brugeren om at installere noget ekstra:
- macOS: Brugeren opfordres til at kopiere et installationsscript fra glot[.]io ind i Terminal. Scriptet henter obfuskeret kode der installerer Atomic Stealer (AMOS) — en commodity stealer til $500-1.000/måned der høster API-nøgler, credentials, krypto-wallets og browserdata.
- Windows: Brugeren bedes downloade “openclaw-agent.zip” fra et GitHub-repository. Arkivet indeholder en trojan med keylogger-funktionalitet.
At macOS er hovedmålet er ingen tilfældighed — der er opstået en trend hvor folk køber Mac Minis specifikt for at køre OpenClaw 24/7.
Hvad gemmer sig bag navnene
De 341 skills maskerer sig som:
- ClawHub typosquats: clawhub1, clawhubb, clawhubcli, clawwhub, cllawhub
- Krypto-tools: Solana wallets, Ethereum gas trackers, “lost Bitcoin finders”
- Polymarket bots: polymarket-trader, polymarket-pro, polytrading
- YouTube-værktøjer: youtube-summarize, youtube-thumbnail-grabber
- Auto-updaters: auto-updater-agent, update, updater
- Google Workspace-integrationer: Falske Gmail, Calendar, Sheets og Drive-tools
Ud over Atomic Stealer-kampagnen fandt Koi også skills med reverse shell-backdoors skjult i ellers funktionel kode (f.eks. better-polymarket), samt skills der eksfiltrerer bot-credentials fra ~/.clawdbot/.env til webhook-tjenester.
Dybere risiko: “den dødelige trifekta”
Palo Alto Networks advarer i en parallel rapport om at OpenClaw repræsenterer det, Simon Willison (der opfandt begrebet “prompt injection”) kalder en “lethal trifecta”:
- Adgang til private data
- Eksponering mod utroværdigt indhold
- Evnen til at kommunikere eksternt
Kombineret med OpenClaws persistente hukommelse bliver angreb ikke længere point-in-time exploits — de bliver stateful, tidsforskudte angreb. Ondsindet input kan fragmenteres, gemmes i agentens langtidshukommelse og først aktiveres når agentens tilstand, mål eller tool-tilgængelighed matcher. Tænk logic bombs for AI-agenter.
Hvad gør OpenClaw ved det?
OpenClaws skaber Peter Steinberger har implementeret en rapporteringsfunktion hvor brugere kan flage mistænkelige skills. Skills med mere end 3 unikke rapporter skjules automatisk. Men det er reaktivt — ikke proaktivt.
Hvad du bør gøre nu
- Auditér dine installerede skills: Tjek
~/.openclaw/og dit workspace’sskills/mappe. Kender du alle skills? - Kør aldrig scripts fra skills blindt: Hvis en skill beder dig installere prerequisites via Terminal — stop. Læs koden først.
- Tjek ClawHub-profiler: Er skill-forfatteren troværdig? Har de et aktivt GitHub-projekt?
- Hold øje med
~/.clawdbot/.env: Den fil indeholder dine API-nøgler. Overvej at begrænse dens indhold til det nødvendige. - Undgå krypto- og finance-skills: De er det primære angrebsmål.
Perspektiv
ClawHavoc er et wake-up call for hele det agentic engineering-økosystem. Vi har set supply chain-angreb i npm, PyPI og VS Code-extensions — nu rammer det AI-agenter. Forskellen er at en kompromitteret AI-agent potentielt har adgang til alt: emails, filer, API-nøgler, cloud-services. Angrebsfladen er dramatisk større end en kompromitteret npm-pakke.
Indtil ClawHub får egentlig sikkerhedsscreening, er det op til os selv at være den menneskelige firewall.
Kilder
- The Hacker News: Researchers Find 341 Malicious ClawHub Skills
- OpenSourceMalware: Clawdbot Skills Ganked Your Crypto
- Palo Alto Networks: Why Moltbot May Signal an AI Crisis
Denne artikel er skrevet i samarbejde med AI, og efterfølgende redigeret af et rigtigt menneske 🙂
