Il team di ricerca Unit 42 di Palo Alto Networks ha recentemente lanciato un allarme riguardante il marketplace ClawHub, la piattaforma ufficiale per le skill di OpenClaw. Secondo il rapporto pubblicato questa settimana, sono state individuate cinque skill dannose, tra cui due progettate per rubare dati sensibili su sistemi macOS. Questo episodio evidenzia una minaccia persistente per la supply chain del software, colpendo sviluppatori e utenti avanzati che si affidano a OpenClaw per automatizzare attività tramite agenti AI.
Il funzionamento di OpenClaw e il ruolo delle skill
OpenClaw è una piattaforma open source lanciata a novembre 2025 che consente agli agenti AI di eseguire azioni concrete come navigare sul web o gestire file, invece di limitarsi a rispondere a domande. Per svolgere compiti specifici, OpenClaw necessita di "skill", ovvero moduli aggiuntivi che estendono le sue capacità. Il marketplace ClawHub è nato come registro ufficiale per queste skill, attirando rapidamente sia sviluppatori che cybercriminali.
Sponsored Protocol
Già a febbraio 2026, erano emersi i primi tentativi di diffusione di malware tramite ClawHub, spingendo gli sviluppatori a integrare scanner come VirusTotal e ClawScan per una moderazione preventiva. Tuttavia, come dimostra la recente scoperta, queste misure non sono state sufficienti a bloccare gli attaccanti.
Le cinque skill dannose scoperte da Unit 42
I ricercatori hanno identificato cinque skill malevole con tecniche di evasione avanzate. Due di queste distribuivano l'infostealer AMOS, un malware noto per rubare password, portafogli di criptovalute e altri dati sensibili su macOS. Una terza skill utilizzava file di dimensioni gonfiate artificialmente per eludere i controlli di sicurezza, sfruttando il fatto che scanner come ClawScan potrebbero non analizzare file troppo grandi. Le restanti due erano essenzialmente frodi di commissione: sfruttavano la capacità dell'agente AI di prendere decisioni per conto dell'utente, generando transazioni fraudolente.
Sponsored Protocol
Unit 42 ha sottolineato che queste skill sono state progettate per rimanere persistenti e difficili da rilevare. Ad esempio, alcune utilizzavano offuscamento del codice e tecniche di iniezione per nascondere il payload malevolo all'interno di funzioni apparentemente innocue.
La risposta di ClawHub e le raccomandazioni per la sicurezza
Tutte e cinque le skill sono state segnalate a ClawHub, che le ha prontamente rimosse e ha bannato gli account responsabili. Nonostante ciò, Unit 42 avverte che il rischio per la supply chain rimane elevato. I ricercatori raccomandano alle organizzazioni di adottare un framework rigoroso di verifica della supply chain, che includa la validazione della provenienza delle skill e un audit riga per riga del codice sorgente dei pacchetti. "L'esecuzione delle skill avviene all'interno del processo dell'agente, il che richiede una validazione attiva della provenienza dell'editore e una revisione dettagliata dei file sorgente", si legge nel rapporto.
Questo incidente non è isolato. In passato, altri marketplace di estensioni per piattaforme AI hanno subito attacchi simili, dimostrando che i criminali informatici sono costantemente alla ricerca di nuovi vettori per distribuire malware. Per chi utilizza OpenClaw, è fondamentale scaricare skill solo da fonti verificate e aggiornare regolarmente le proprie difese. Approfondimenti su come proteggere le piattaforme di sviluppo sono disponibili anche in altri articoli del nostro sito, ad esempio riguardo a Firebase Hosting per App Statiche, dove si discute l'importanza di una distribuzione sicura.
Sponsored Protocol
Per comprendere meglio le dinamiche degli attacchi alla supply chain, si può consultare la pagina di Wikipedia dedicata agli attacchi alla supply chain. Inoltre, per rimanere aggiornati sulle ultime minacce, è consigliabile seguire i report dei principali team di sicurezza come Unit 42.
