AI-агенты уже захвачены: вредоносные Skills на ClawHub превращают 10K агентов в крипто-майнинговый ботнет

Ноль эксплойтов, 10K compromised

Пока мы обсуждаем, что могут делать AI-агенты, сообщество безопасности уже обсуждает, что другие могут заставить делать AI-агентов.

Исследователь безопасности Manifold Aks Sharma обнаружил 30 вредоносных Skills на ClawHub (маркетплейс навыков AI-агентов), которые могут превратить установленные AI-агенты в крипто-майнинговый ботнет. До обнаружения сообществом безопасности эти вредоносные Skills уже получили более 10 000 загрузок.

Весь процесс атаки не требует ни одного эксплойта — просто публикуешь кажущиеся полезными Skills и ждёшь, пока пользователи агентов их установят.

Разбор цепочки атаки

Что делает этот путь атаки настолько тревожным — его простота:

1. Атакующий пишет вредоносный Skill (маскируя под полезный инструмент)
   ↓
2. Публикация на ClawHub (маркетплейс навыков, низкий порог проверки)
   ↓
3. Пользователи устанавливают Skill ("этот инструмент выглядит хорошо")
   ↓
4. Skill выполняется в среде выполнения агента
   ↓
5. Агент тихо подключается к майнинг-пулу, потребляя вычислительные ресурсы пользователя
   ↓
6. 10K загрузок = 10K compromised агентов

Это не традиционная атака на цепочку поставок программного обеспечения — она не требует проникновения в инфраструктуру, фишинга социальной инженерии или zero-day уязвимостей. Она просто эксплуатирует механизм доверия экосистемы агентов к Skills.

Большая картина: безопасность AI-агентов бьёт во все колокола

Инцидент на ClawHub — не изолированная проблема безопасности. За последние несколько недель инциденты безопасности в экосистеме AI-агентов вспыхивают один за другим:

Инцидент	Время	Воздействие
Вредоносные Skills ClawHub	Конец апреля	30 вредоносных Skills, 10K+ загрузок
LiteLLM CVE-2026-42208	29 апреля	SQL-инъекция, эксплуатирована в течение 36 часов, раскрывая базы данных AI-шлюза и облачные учётные данные
Microsoft Entra ID привилегированный доступ AI-агентов	30 апреля	Роли агентов могут повышать привилегии, потенциально обеспечивая захват всего тенанта
AgentFlow CVE-2026-7466	29 апреля	Контролируемый пользователем параметр пути Pipeline приводит к произвольному выполнению кода
Неконтролируемые учётные данные production AI-кодирующих агентов	30 апреля	6 уязвимостей, 4 платформы, 9 месяцев — агенты получают доступ к production с неуправляемыми учётными данными

Корень проблемы

Ключевое противоречие в безопасности AI-агентов: агенты спроектированы для автономных действий, но инфраструктура безопасности была спроектирована для сценариев “человек в цикле”.

Конкретно:

1. Проверка маркетплейса Skills отстаёт от скорости публикации: ClawHub добавляет сотни новых Skills ежедневно, ручная проверка не успевает
2. Границы разрешений среды выполнения агентов размыты: зачем “Skill запроса погоды” нужен доступ к файловой системе?
3. Управление учётными данными отсутствует: AI-кодирующие агенты используют захардкоженные API-ключи для подключения к production-базам данных, никто не аудитирует
4. Цепочки инструментов безопасности не совпадают: традиционные инструменты SAST/DAST не могут анализировать динамическое поведение агентов

Рекомендации к действию

Для команд, использующих или планирующих развёртывание AI-агентов:

Немедленные действия

• Аудит установленных Skills: проверьте Skills из ClawHub, GitHub и других источников, удалите из неизвестных источников
• Ограничьте разрешения среды выполнения агентов: используйте принцип наименьших привилегий, не давайте агентам ненужный доступ к файловой системе/сети
• Ротируйте учётные данные агентов: рассматривайте все API-ключи и пароли баз данных, используемые агентами, как compromised

Среднесрочное строительство

• Установите процесс проверки Skills: проводите code review перед установкой сторонних Skills
• Разверните мониторинг поведения агентов: записывайте все вызовы инструментов и API-доступы агентов, стройте обнаружение аномалий
• Изолируйте среды выполнения агентов: используйте контейнеры или песочницы для ограничения области воздействия агентов

Долгосрочная стратегия

• Продвигайте стандарты безопасности агентов: индустрии нужен гайд по безопасности агентов, аналогичный OWASP Top 10
• Установите механизмы подписи Skills: как подпись кода, убедитесь, что источник Skills доверенный и не изменён

Проблема безопасности эпохи AI-агентов больше не “произойдёт ли это”, а “сколько уже произошло”. Инцидент на ClawHub — только верхушка айсберга — когда автономное ПО становится нормой, инфраструктура безопасности должна успевать.