OpenClaw integruje skenování přes VirusTotal pro detekci škodlivých dovedností (skills) v ClawHubu
Aktuality

OpenClaw integruje skenování přes VirusTotal pro detekci škodlivých dovedností (skills) v ClawHubu

PŘEČTENO CELKEM: 207

Doba čtení: 10 minut

OpenClaw (dříve Moltbot a Clawdbot) oznámil, že navázal spolupráci se službou VirusTotal vlastněnou společností Google, aby skenoval dovednosti (skills), které jsou nahrávány do ClawHubu, jeho tržiště dovedností. Tento krok je součástí širší snahy posílit bezpečnost tzv. agentního ekosystému.

„Všechny dovednosti publikované na ClawHubu jsou nyní skenovány pomocí threat intelligence od VirusTotal, včetně jejich nové funkce Code Insight,“ uvedl zakladatel OpenClaw Peter Steinberger spolu s Jamiesonem O’Reillym a Bernardem Quinterem. „Tímto přidáváme další bezpečnostní vrstvu pro komunitu OpenClaw.“

Proces v zásadě spočívá ve vytvoření unikátního SHA-256 hashe pro každou dovednost a jeho porovnání s databází VirusTotal. Pokud shoda není nalezena, balíček dovednosti je nahrán do nástroje pro analýzu malwaru k dalšímu vyhodnocení pomocí VirusTotal Code Insight.

Dovednosti, které získají verdikt „benign“ (neškodné), jsou ClawHubem automaticky schváleny. Ty, které jsou označeny jako podezřelé, jsou opatřeny varováním. Jakákoli dovednost vyhodnocená jako škodlivá je zablokována a nelze ji stáhnout. OpenClaw rovněž uvedl, že všechny aktivní dovednosti jsou denně znovu skenovány, aby bylo možné odhalit situace, kdy se dříve čistá dovednost stane škodlivou.

Správci OpenClaw však zároveň upozornili, že skenování přes VirusTotal „není všelék“ a že existuje možnost, že některé škodlivé dovednosti využívající chytře skryté prompt-injection payloady mohou tímto procesem projít.

Kromě partnerství s VirusTotal má platforma v plánu zveřejnit komplexní threat model, veřejnou bezpečnostní roadmapu, formální proces pro hlášení bezpečnostních incidentů a také detaily bezpečnostního auditu celého kódu.

Tento krok přichází po zprávách, které odhalily stovky škodlivých dovedností na ClawHubu, což OpenClaw přimělo přidat možnost hlášení, díky níž mohou přihlášení uživatelé označit podezřelou dovednost. Více analýz ukázalo, že tyto dovednosti se tváří jako legitimní nástroje, ale ve skutečnosti obsahují škodlivé funkce umožňující exfiltraci dat, vkládání zadních vrátek pro vzdálený přístup nebo instalaci krádežního malwaru.

„AI agenti se systémovým přístupem se mohou stát skrytými kanály pro únik dat, které obcházejí tradiční ochrany proti ztrátě dat, proxy servery i endpoint monitoring,“ uvedla minulý týden společnost Cisco. „Zároveň se modely mohou stát orchestrátory vykonávání, kde se samotný prompt stává instrukcí, kterou je obtížné zachytit tradičními bezpečnostními nástroji.“

Nedávná virální popularita OpenClaw, open-source agentního AI asistenta, a Moltbooku, přidružené sociální sítě, kde autonomní AI agenti postavení na OpenClawu mezi sebou interagují ve stylu Redditu, vyvolala bezpečnostní obavy.

Zatímco OpenClaw funguje jako automatizační engine pro spouštění workflow, interakci s online službami a provoz napříč zařízeními, hluboký přístup udělený dovednostem – spolu se skutečností, že mohou zpracovávat data z nedůvěryhodných zdrojů – otevírá prostor pro rizika, jako je malware a prompt injection.

Jinými slovy, integrace jsou sice pohodlné, ale výrazně rozšiřují útočnou plochu a množství nedůvěryhodných vstupů, které agent zpracovává, čímž se může stát „agentním trojským koněm“ pro exfiltraci dat a další škodlivé akce. Společnost Backslash Security popsala OpenClaw jako „AI s rukama“.

„Na rozdíl od tradičního softwaru, který dělá přesně to, co mu kód přikáže, AI agenti interpretují přirozený jazyk a rozhodují se o akcích,“ uvedl OpenClaw. „Stírají hranici mezi záměrem uživatele a vykonáním strojem. Lze je manipulovat samotným jazykem.“

OpenClaw rovněž přiznal, že síla dovedností – které rozšiřují schopnosti AI agenta od ovládání chytré domácnosti až po správu financí – může být zneužita útočníky. Ti mohou využít přístup agenta k nástrojům a datům k odcizení citlivých informací, spouštění neautorizovaných příkazů, odesílání zpráv jménem oběti nebo dokonce ke stahování a spouštění dalších payloadů bez vědomí či souhlasu uživatele.

Navíc s tím, jak je OpenClaw stále častěji nasazován na pracovních stanicích zaměstnanců bez formálního schválení IT nebo bezpečností, mohou zvýšená oprávnění těchto agentů umožnit shell přístup, přesuny dat a síťovou konektivitu mimo standardní bezpečnostní kontroly, čímž vzniká nová kategorie rizik tzv. Shadow AI pro podniky.

„OpenClaw a podobné nástroje se ve vaší organizaci objeví, ať už je schválíte, nebo ne,“ uvedl výzkumník Astrix Security Tomer Yahalom. „Zaměstnanci si je nainstalují, protože jsou skutečně užitečné. Jediná otázka je, zda o tom budete vědět.“

Mezi výrazné bezpečnostní problémy, které vyšly v posledních dnech najevo, patří:

  • Již opravená chyba ve starších verzích, která mohla způsobit chybné klasifikování proxovaného provozu jako lokálního a obejití autentizace u některých instancí vystavených internetu.

  • „OpenClaw ukládá přihlašovací údaje v otevřeném textu, používá nebezpečné programátorské vzory včetně přímého eval s uživatelským vstupem a nemá zásady ochrany soukromí ani jasnou odpovědnost,“ uvedli Moshe Siman Tov Bustan a Nir Zadok ze společnosti OX Security. „Běžné metody odinstalace zanechávají citlivá data a úplné odebrání přístupu je mnohem složitější, než si většina uživatelů uvědomuje.“

  • Zero-click útok, který zneužívá integrace OpenClaw k nasazení zadních vrátek na endpoint oběti při zpracování zdánlivě neškodného dokumentu AI agentem. Výsledkem je spuštění nepřímého prompt-injection payloadu, jenž umožňuje reagovat na zprávy z Telegram bota ovládaného útočníkem.

  • Nepřímá prompt injection vložená do webové stránky, která při zpracování LLM (např. při požadavku na shrnutí obsahu stránky) způsobí, že OpenClaw zapíše útočníkem řízené instrukce do souboru ~/.openclaw/workspace/HEARTBEAT.md a tiše čeká na další příkazy z externího serveru.

  • Bezpečnostní analýza 3 984 dovedností na tržišti ClawHub zjistila, že 283 dovedností (cca 7,1 % registru) obsahuje kritické chyby, které odhalují citlivé přihlašovací údaje v otevřeném textu skrze kontextové okno LLM a výstupní logy.

  • Zpráva Bitdefenderu odhalila, že škodlivé dovednosti jsou často klonovány a znovu publikovány ve velkém měřítku s drobnými změnami názvu a že payloady jsou distribuovány přes paste služby, jako je glot.io, a veřejné GitHub repozitáře.

  • Již opravená one-click zranitelnost umožňující vzdálené spuštění kódu, která mohla útočníkovi umožnit přimět uživatele k návštěvě škodlivé webové stránky, odkud by došlo k úniku autentizačního tokenu OpenClaw přes WebSocket a následnému spuštění libovolných příkazů na hostiteli.

  • Gateway OpenClaw se ve výchozím nastavení váže na 0.0.0.0:18789, čímž vystavuje celé API všem síťovým rozhraním. Podle dat Censys je k 8. únoru 2026 přes internet dostupných více než 30 000 instancí, ačkoli většina vyžaduje token pro přístup.

  • V hypotetickém scénáři útoku může prompt-injection payload vložený do speciálně vytvořené WhatsApp zprávy sloužit k exfiltraci souborů .env a creds.json, které obsahují přihlašovací údaje, API klíče a session tokeny připojených platforem.

  • Chybně nakonfigurovaná databáze Supabase patřící Moltbooku, která byla vystavena v klientském JavaScriptu, zpřístupnila tajné API klíče všech registrovaných agentů a umožnila plný čtecí i zápisový přístup k datům platformy. Podle společnosti Wiz šlo o 1,5 milionu autentizačních tokenů, 35 000 e-mailových adres a soukromé zprávy mezi agenty.

  • Útočníci zneužívali mechanismy platformy Moltbook k umělému zvyšování dosahu a směrování jiných agentů na škodlivá vlákna obsahující prompt injections za účelem manipulace jejich chování nebo krádeže kryptoměn.

  • „Moltbook mohl neúmyslně vytvořit laboratoř, kde agenti – často vysoce hodnotné cíle – neustále zpracovávají nedůvěryhodná data a kde ochranná opatření nejsou součástí platformy už z principu,“ uvedla společnost Zenity Labs.

„Prvním a možná nejzávažnějším problémem je, že OpenClaw spoléhá na nakonfigurovaný jazykový model při řadě bezpečnostně kritických rozhodnutí,“ uvedli výzkumníci HiddenLayer. „Pokud uživatel aktivně nepovolí sandboxování nástrojů pomocí Dockeru, zůstává výchozím stavem plný systémový přístup.“

Mezi další architektonické a návrhové problémy patří neschopnost OpenClaw filtrovat nedůvěryhodný obsah obsahující řídicí sekvence, neúčinné ochrany proti nepřímým prompt injection, modifikovatelné paměti a systémové prompty přetrvávající do dalších chatových relací, ukládání API klíčů a session tokenů v otevřeném textu a absence explicitního schválení uživatelem před spuštěním volání nástrojů.

Ve zprávě zveřejněné minulý týden společnost Persmiso Security uvedla, že bezpečnost ekosystému OpenClaw je ještě kritičtější než u obchodů s aplikacemi či rozšířeními prohlížečů, a to kvůli rozsáhlému přístupu agentů k uživatelským datům.

„AI agenti mají přístup k přihlašovacím údajům k celému vašemu digitálnímu životu,“ upozornil bezpečnostní výzkumník Ian Ahl. „A na rozdíl od rozšíření prohlížeče, která běží v sandboxu s určitou mírou izolace, tito agenti fungují s plnými oprávněními, která jim udělíte.“

„Tržiště dovedností tento problém ještě zhoršuje. Když si nainstalujete škodlivé rozšíření prohlížeče, kompromitujete jeden systém. Když si nainstalujete škodlivou dovednost agenta, potenciálně kompromitujete každý systém, ke kterému má agent přístup.“

Dlouhý seznam bezpečnostních problémů spojených s OpenClaw přiměl čínské Ministerstvo průmyslu a informačních technologií vydat varování před chybně nakonfigurovanými instancemi a vyzvat uživatele k zavedení ochranných opatření proti kybernetickým útokům a únikům dat, uvedla agentura Reuters.

„Když se agentní platformy stanou virálními rychleji, než dozrají bezpečnostní postupy, stává se hlavní útočnou plochou špatná konfigurace,“ uvedl Ensar Seker, CISO společnosti SOCRadar. „Rizikem není samotný agent, ale vystavení autonomních nástrojů veřejným sítím bez zpevněné identity, řízení přístupu a exekučních hranic.“

„Pozoruhodné je, že čínský regulátor explicitně upozorňuje na konfigurační rizika místo zákazu technologie. To odpovídá tomu, co obránci už vědí: agentní frameworky zesilují jak produktivitu, tak i dopad incidentu. Jeden otevřený endpoint nebo příliš benevolentní plugin může proměnit AI agenta v neúmyslnou automatizační vrstvu pro útočníky.“..

Zdroj: https://thehackernews.com/2026/02/openclaw-integrates-virustotal-scanning.html

Předchozí článek ModSecurity na NGINX (Debian): jednoduchý základ i za reverzní proxy
Další článekt AI Chatbot pro váš web — nepřetržitá podpora i prodej 24/7

Další

Aktuality

Jedna apka na všechno? Pohodlí, které se může rychle změnit v problém

Aktuality

IT služby v roce 2026: AI, automatizace a návrat studených e-mailů z doby před patnácti lety

Aktuality

Nakupování zboží od Alza.cz přes Aukro: Úspora, nebo zbytečné čekání?

Aktuality

Vyplatí se Heureka v roce 2026?

Aktuality

AI chatboti jako ChatGPT dokážou napodobovat lidské vlastnosti

Aktuality Cloud

Cloudflare má dnes globální problém – možná příčina výpadků služeb