Agenții AI au suferit primul lor atac major asupra lanțului de aprovizionare, malware în cea mai bună abilitate a Clawhub

Pe 5 februarie 2026, Daniel Lockyer (x.com/DanielLockyer) a postat un avertisment sever pe X:

„malware găsit în cea mai descărcată abilitate de pe clawhub
și așa începe”

El cita propriul său post din urmă cu doar 10 zile, unde a prezis:

„Estimăm că suntem la doar câteva săptămâni de o problemă de securitate extrem de gravă în cadrul unei companii… Li se oferă acces complet la secrete și instrumente, iar acum descoperim că sunt accesibile pe internetul public. Timpuri distractive înainte.”

Această predicție a îmbătrânit într-un timp record.

Abilitatea în cauză a fost cel mai descărcat element pe Clawhub, un marketplace pentru „abilități” care extind OpenClaw (cunoscut și sub numele de Clawdbot/Moltbot), un agent AI care funcționează local ce poate citi fișierele tale, controla browserul, rula comenzi terminal și păstra memorie pe termen lung.

Abilitatea malițioasă s-a deghizat ca un simplu instrument de tendințe „Twitter” (acum X). Instrucțiunile sale păreau legitime la prima vedere, dar primul pas le spunea utilizatorilor să instaleze o „dependință necesară” numită openclaw-core. Făcând clic pe linkurile furnizate, utilizatorii erau direcționați către livrarea de malware în etape: o pagină web care a păcălit agentul AI să ruleze comenzi shell obfuscate, să descarce un payload de a doua etapă, să elimine steagurile de carantină macOS și să execute un infostealer.

Malware-ul (confirmat prin VirusTotal) a vizat sesiuni de browser, cookie-uri, parole salvate, token-uri de dezvoltator, chei SSH, acreditive cloud, tot ce poate atinge un agent cu permisiuni largi.

De la descoperirea originală, cercetătorii au găsit sute de abilități malițioase pe Clawhub (341 într-o singură auditare), multe parte din campanii coordonate care livrau Atomic Stealer (AMOS) pe macOS, keyloggere pe Windows și wrapper-uri care fură acreditive.

Problema de bază este simplă și terifiantă: abilitățile OpenClaw sunt practic fișiere Markdown executabile. Nu există un proces de revizuire, nu există sandboxing din oficiu, iar întreaga registru funcționează pe încredere + descărcări. Este coșmarul lanțului de aprovizionare npm/PyPI, dar acum pachetele pot exfiltra direct cheile tale AWS sau portofelele de criptomonede.

Echipele de securitate emit deja sfaturi directe:

• Nu rula OpenClaw pe niciun dispozitiv cu acreditive corporative.

• Dacă ai instalat abilități din Clawhub, tratează mașina ca compromisă.

• Rotirează fiecare secret pe care l-ai folosit vreodată pe acesta.

Postarea lui Lockyer a acumulat deja milioane de vizualizări și a stârnit conversația de care industria avea nevoie. Era epocii „doar instalează această abilitate AI cool” s-a încheiat înainte de a începe cu adevărat. Lecția este aceeași pe care fiecare ecosistem de pachete o învață în cele din urmă, cu excepția că de data aceasta raza de explozie este întreaga ta viață digitală. Și așa începe.