Relatórios de empresas de segurança apontam que o ecossistema de extensões ("skills") do OpenClaw, hospedado no marketplace ClawHub, foi alvo de uma campanha de envenenamento de supply chain que distribuiu infostealers e backdoors para usuários de agentes locais de IA.
Descoberta e escopo
SlowMist e Koi Security escanearam o repositório ClawHub e identificaram centenas de skills maliciosas. Koi levantou que, entre 2.857 skills avaliadas, 341 foram apontadas como maliciosas (campanha denominada ClawHavoc). SlowMist consolidou IOCs a partir de mais de 400 amostras, com 472 skills afetadas compartilhando infraestrutura comum.
Mecanismo de abuso
O design do sistema de skills do OpenClaw usa pastas SKILL.md que contêm instruções executáveis — não código verificável — transformando documentos Markdown em caminhos operacionais. Atacantes exploraram esse fluxo ao esconder comandos Base64 em campos "prerequisites". Usuários que decodificavam e executavam esses comandos acionavam cadeias do tipo curl | bash, que baixavam stagers e, em seguida, stealers como variantes do Atomic macOS Stealer (AMOS).
Infraestrutura e indicadores
As análises dinâmicas revelaram domínios e IPs repetidos (por exemplo, 91.92.242.30) e C2s como socifiapp[.]com. Amostras observadas apresentavam binários Mach‑O assinados ad‑hoc que exfiltram dados de Desktop/Documents, Keychain e credenciais de navegadores.
Setores e vetores afetados
Skills maliciosas eram disfarçadas como utilitários de cripto, rastreadores de tendências e atualizadores. A popularidade crescente do ecossistema trouxe maior visibilidade a esses artefatos, facilitando a exposição de desenvolvedores e usuários que instalaram extensões para automatizar agentes locais.
Mitigações
- Tratamento cauteloso de SKILL.md: não executar comandos decodificados sem revisar o conteúdo e origem.
- Monitorar downloads realizados por agentes e bloquear comunicação com IOCs conhecidos (domínios/IPs e hashes listados pelos pesquisadores).
- Promover revisão formal de pacotes em marketplaces de extensões e exigir artefatos audíveis em vez de instruções executáveis em Markdown.
- Isolar agentes que podem executar código do usuário e aplicar mecanismos de privilégio mínimo para acessos a Keychain/credential stores.
O que precisa ser esclarecido
Os relatórios públicos sumarizam IOCs e amostras, porém não fornecem métricas de quantos usuários finais foram comprometidos. Também falta detalhamento sobre coordenação entre as equipes de manutenção do OpenClaw/ClawHub e os fornecedores de infrações.
Fontes: SlowMist e Koi Security, consolidadas via Cyber Security News.