Un avvertimento per chi utilizza OpenClaw: una skill popolare si è rivelata veicolo per malware.

Dettagli della vulnerabilità

Jason Meller di 1Password ha evidenziato come l'ecosistema di "skill" di OpenClaw, che dovrebbero ampliare le funzionalità degli agent, sia diventato un bersaglio per attacchi malware. Le skill sono spesso file markdown contenenti istruzioni di setup, comandi e script. Gli utenti, fidandosi di queste istruzioni, le eseguono, aprendo la porta a minacce.

La skill incriminata, che prometteva l'integrazione con Twitter, in realtà installava un malware per macOS capace di sottrarre credenziali, token e dati sensibili. Ulteriori indagini hanno rivelato che questo era parte di una campagna più ampia con centinaia di skill dannose.

Il problema strutturale

Il problema risiede nella natura stessa dei registri di skill, che funzionano come app store ma distribuiscono documentazione che gli utenti tendono a considerare sicura. I meccanismi di sicurezza esistenti non sono sufficienti a proteggere da skill che aggirano le protezioni tramite tecniche di social engineering o script inclusi.

Raccomandazioni

Meller raccomanda di non utilizzare OpenClaw su dispositivi aziendali e di considerare gli utilizzi precedenti come potenziali incidenti di sicurezza, cambiando le credenziali e isolando gli ambienti di test. Invita inoltre i gestori dei registri e i creatori dei framework a considerare le skill come un rischio per la supply chain, implementando sistemi di scansione, controlli di provenienza, sandboxing e permessi rigorosi.

È necessario un nuovo livello di fiducia, con provenienza verificabile, esecuzione controllata e permessi revocabili, per consentire agli agent di agire efficacemente senza esporre gli utenti a rischi.

Per chi valuta deployment on-premise, esistono trade-off da considerare; AI-RADAR offre framework analitici su /llm-onpremise per supportare queste valutazioni.