Slow Mist: ClawHub має ризик закладення бекдору, 21% топ Skills занесені в список високого ризику

Головний фахівець з інформаційної безпеки компанії Slow Mist, 23pds, оприлюднив попередження про те, що через залежність ClawHub від входу через GitHub одним натисканням, відкритий для зловмисників, може бути використаний для крадіжки облікових даних розробників, що дозволить їм видавати шкідливі Skills під виглядом легітимних, здійснюючи атаки через ланцюг поставок. Одночасно, команда GoPlus провела повне безпечне сканування сотні найпопулярніших Skills, завантажених з ClawHub, і результати показали, що 21% мають високий рівень ризику, а 17% потребують попереджень.

Повний аналіз шляху атаки: від облікових даних GitHub до системного проникнення

У своєму оголошенні Slow Mist чітко виклав повний шлях потенційної атаки, щоб допомогти розробникам і користувачам зрозуміти реальні механізми загрози:

Крадіжка облікових даних: за допомогою вірусів, таких як Sha1-Hulud, або фішингових атак викрадаються облікові дані для входу в GitHub розробників.

Отримання доступу до GitHub: зловмисники використовують викрадені облікові дані для входу в акаунти жертв на GitHub.

Входження до ClawHub під виглядом розробника: оскільки ClawHub використовує вход через GitHub одним натисканням, зловмисник може безпосередньо увійти під легітимним обліковим записом розробника.

Публікація шкідливих Skills: під виглядом постраждалого розробника публікуються шкідливі Skills, що містять бекдор, які важко відрізнити від звичайних.

Встановлення та запуск користувачами: неусвідомлюючи, користувачі завантажують і запускають ці Skills, що активує шкідливий код.

Проникнення в систему: зловмисники отримують доступ до пристроїв користувачів, що може призвести до крадіжки даних, віддаленого управління та інших серйозних наслідків.

Загроза цієї ланцюгової атаки полягає в тому, що кожен її етап має високий рівень прихованості, і користувачі майже не можуть визначити зовні, чи був Skill змінений зловмисниками.

Результати сканування GoPlus: розподіл безпеки серед топ-100 Skills

12 березня GoPlus опублікував звіт про безпечне сканування сотні найчастіше завантажуваних Skills з ClawHub, що надає більш систематизовані дані про ризики:

21% блоковано (Blocked): ці Skills мають явні високоризикові дії, включаючи прямі мережеві проникнення, виклики чутливих API та автоматичне надсилання повідомлень.

17% з попередженнями (Warning): мають потенційні ризики, і користувачам з високими вимогами до безпеки рекомендується бути обережними при їх використанні.

62% пройшли перевірку: решта Skills не виявили явних проблем у поточному скануванні.

GoPlus рекомендує для Skills з високим ризиком обов’язково вводити механізм «людина в ланцюгу (HITL)», щоб людська перевірка здійснювалася перед виконанням ключових дій, а не після.

Спір навколо SkillHub від Tencent: масове збирання даних викликає питання авторських прав і підтримки

Паралельно з посиленням попереджень про безпеку, екосистема ClawHub стала об’єктом дискусій через дії Tencent. Компанія запустила спільноту SkillHub, побудовану на основі офіційної відкритої екосистеми OpenClaw, яка позиціонується як локальна платформа для розповсюдження Skills для китайських розробників. Однак засновник OpenClaw, Peter Steinberger, після дізнання про це висловив критику, зазначивши, що отримував скарги щодо того, що Tencent скопіювала всі Skills з ClawHub і додала їх до своєї платформи, при цьому швидкість копіювання була такою високою, що спровокувала обмеження швидкості з боку офіційної системи. Steinberger прямо заявив: «Вони скопіювали, але не підтримують цей проект.»

Офіційний представник Tencent AI відповів, що SkillHub працює як дзеркальний сайт, на якому вказано оригінальне джерело — ClawHub, і що мета платформи — забезпечити більш стабільний і швидкий доступ для користувачів у Китаї. За перший тиждень роботи платформи було оброблено близько 180 ГБ трафіку (870 тисяч завантажень), але фактичні дані, отримані з офіційних джерел, склали лише близько 1 ГБ. Вони також підкреслили, що кілька членів команди Tencent вже внесли свій внесок у відповідні відкриті проекти і прагнуть підтримувати розвиток екосистеми.

Часті питання

Як користувачам ClawHub захистити себе від шкідливих Skills?
Рекомендується встановлювати лише Skills, які пройшли перевірку через GoPlus або інші авторитетні служби безпеки; бути обережними з Skills, що запитують доступ до локальних файлів, мережі або системних API; слідкувати за кількістю завантажень і рейтингами, але не покладатися лише на них; регулярно оновлювати встановлені Skills і слідкувати за безпековими оголошеннями платформи. Найголовніше — перед виконанням високоризикових дій активувати функцію «людина в ланцюгу (HITL)» для підтвердження.

Чи потрібно змінити спосіб входу в ClawHub з GitHub на інший?
З точки зору безпеки, залежність від одного OAuth-провайдера (наприклад, GitHub) створює ризик єдиного точки відмови — якщо облікові дані GitHub будуть скомпрометовані, доступ до ClawHub буде втрачено. Більш безпечні рішення включають впровадження багатофакторної аутентифікації (MFA), можливість створення окремих акаунтів або додавання додаткових рівнів перевірки для публікації Skills. Це — напрямки, над якими платформа має працювати для підвищення довіри розробників.

Чи порушує практика Tencent SkillHub ліцензійні умови відкритого коду?
Це залежить від конкретних ліцензійних умов OpenClaw і ClawHub. Використання дзеркальних сайтів і позначення джерела як ClawHub є допустимим у межах «розумного використання», але критика Steinberger більше стосується моральних аспектів підтримки екосистеми — використання результатів спільної роботи без реального внеску або комерційної підтримки. Це поширена дискусія у спільноті відкритого коду і зазвичай вирішується через чіткі ліцензійні угоди та домовленості про співпрацю.