Las extensiones de ‘habilidad’ de IA de OpenClaw son una pesadilla de seguridad
Investigadores de seguridad encontraron malware en cientos de complementos de “eskill” enviados por usuarios en el mercado de OpenClaw.Resumen
El agente de IA OpenClaw, que ha ganado popularidad rápidamente y realiza tareas a través de extensiones llamadas 'skills', enfrenta un escrutinio de seguridad significativo después de que investigadores descubrieran malware en cientos de complementos enviados por usuarios en su mercado ClawHub. Jason Meller, vicepresidente de productos de 1Password, advirtió que el centro de habilidades se ha convertido en una "superficie de ataque", con el complemento más descargado actuando como un "vehículo de entrega de malware". OpenSourceMalware rastreó cientos de habilidades maliciosas subidas a finales de enero y principios de febrero, señalando que a menudo se disfrazaban de herramientas de automatización de comercio de criptomonedas para robar datos sensibles como claves API, credenciales SSH y contraseñas.
Estas habilidades maliciosas frecuentemente utilizan archivos markdown para ocultar instrucciones que engañan al agente de IA para que ejecute código dañino. Por ejemplo, una popular habilidad de 'Twitter' contenía instrucciones que conducían a un enlace diseñado para hacer que el agente descargara malware que roba información. El creador de OpenClaw, Peter Steinberger, está implementando medidas para mitigar estos riesgos, como exigir que los nuevos publicadores de habilidades tengan una cuenta de GitHub de al menos una semana de antigüedad, aunque persisten las preocupaciones sobre el malware no detectado.
(Fuente:The Verge)