5 lutego 2026 roku Daniel Lockyer (x.com/DanielLockyer) zamieścił surowe ostrzeżenie na X:
“znaleziono złośliwe oprogramowanie w najczęściej pobieranej umiejętności na clawhub
i tak to się zaczyna”
Cytował swój własny post sprzed zaledwie 10 dni, w którym przewidział:
“Szacuję, że jesteśmy tylko kilka tygodni od niezwykle poważnego problemu z bezpieczeństwem w firmie… Otrzymują pełny dostęp do tajemnic i narzędzi, a teraz odkrywamy, że są dostępne w publicznym internecie. Czas na zabawę.”
Ta prognoza zestarzała się w rekordowym czasie.
Umiejętność w kwestii była numerem 1 w pobraniach na Clawhub, rynku „umiejętności”, które rozszerzają OpenClaw (znanego również jako Clawdbot/Moltbot), lokalnego agenta AI, który może czytać twoje pliki, kontrolować przeglądarkę, uruchamiać polecenia terminala i przechowywać długoterminową pamięć.
Złośliwa umiejętność podszywała się pod prostą narzędzie do trendów „Twittera” (teraz X). Jej instrukcje wyglądały na wiarygodne na pierwszy rzut oka, ale pierwszy krok powiedział użytkownikom, aby zainstalowali „wymaganą zależność” o nazwie openclaw-core. Kliknięcie podanych linków prowadziło do dostarczania złośliwego oprogramowania: strony internetowej, która oszukiwała agenta AI, aby uruchomić zniekształcone polecenia powłoki, pobrać ładunek drugiego etapu, usunąć flagi kwarantanny macOS i wykonać infostealera.
Złośliwe oprogramowanie (potwierdzone przez VirusTotal) celowało w sesje przeglądarki, pliki cookie, zapisane hasła, tokeny dewelopera, klucze SSH, poświadczenia w chmurze, wszystko, co agent z szerokimi uprawnieniami może zyskać.
Od czasu pierwotnego odkrycia, badacze znaleźli setki złośliwych umiejętności na Clawhub (341 w jednej audycie), wiele z nich to część skoordynowanych kampanii dostarczających Atomic Stealer (AMOS) na macOS, keyloggerów na Windows i opakowań kradnących dane uwierzytelniające.
Podstawowy problem jest prosty i przerażający: umiejętności OpenClaw są zasadniczo wykonywalnymi plikami Markdown. Nie ma procesu przeglądania, brak piaskownicy domyślnie, a cały rejestr działa na zaufaniu + pobraniach. To koszmar łańcucha dostaw npm/PyPI, ale teraz pakiety mogą bezpośrednio eksfiltracja twoje klucze AWS lub portfele kryptowalut.
Zespoły ds. bezpieczeństwa już wydają dosadne porady:
Nie uruchamiaj OpenClaw na żadnym urządzeniu z korporacyjnymi poświadczeniami.
Jeśli zainstalowałeś umiejętności z Clawhub, traktuj maszynę jako skompromitowaną.
Obracaj każdą tajemnicę, którą kiedykolwiek używałeś.
Post Lockyera już zgromadził miliony wyświetleń i zapoczątkował rozmowę, której potrzebowała branża. Era „po prostu zainstaluj tę fajną umiejętność AI” już się skończyła, zanim tak naprawdę się zaczęła. Lekcja jest ta sama, którą ostatecznie uczy się każdy ekosystem pakietów, z wyjątkiem tego, że tym razem promień wybuchu to całe twoje życie cyfrowe. I tak to się zaczyna.