30 kỹ năng ClawHub âm thầm biến tác nhân AI thành bầy đàn đào tiền ảo

Ba mươi kỹ năng trên ClawHub được xuất bản bởi một tác giả duy nhất đang âm thầm chiếm đoạt các tác nhân AI (AI agents) và tạo thành một bầy đàn đào tiền ảo quy mô lớn – mà không cần bất kỳ phần mềm độc hại hay sự đồng ý của người dùng nào.

Ax Sharma, người đứng đầu nghiên cứu tại công ty bảo mật AI Manifold, đã phát hiện ra các kỹ năng này trên ClawHub – một kho đăng ký và thị trường dành cho các kỹ năng của OpenClaw.

Một người dùng ClawHub với biệt danh "imaflytok" đã đăng tải các kỹ năng này, với tổng số lượt tải xuống khoảng 9.800 lần. Sharma cho biết chiến dịch này – ông đặt tên là "ClawSwarm" – khác với các nỗ lực phân phối mã độc ClawHub trong quá khứ vì nó không sử dụng phần mềm độc hại hay nhắm vào con người.

Nhắm trực tiếp vào tác nhân AI

Thay vào đó, ClawSwarm nhắm trực tiếp vào các tác nhân và các tệp SKILL.md – những tài liệu cung cấp cho tác nhân hướng dẫn về cách tương tác với các hệ thống khác.

"ClawSwarm không phải là một bản công bố lỗ hổng," Sharma chia sẻ. "Không có lỗi nào để vá và không có gì bí mật về cơ sở hạ tầng cả. Đó là một dự án mã nguồn mở trên GitHub với tài liệu công khai, một nhóm Telegram và một token trên chuỗi công khai."

Trong chiến dịch này, người dùng cài đặt một kỹ năng có vẻ vô hại – những kỹ năng này tự nhận mình là mọi thứ từ một trình trợ lý cron (903 lượt tải) đến một kỹ năng Bảo mật tác nhân (685 lượt tải), một người theo dõi cá voi (347 lượt tải), một trình đăng bài đa nền tảng (292 lượt tải) và tích hợp thị trường dự đoán (154 lượt tải).

Cơ chế hoạt động nguy hiểm

Sau khi được cài đặt, tác nhân AI sẽ tự đăng ký tại "onlyflies.buzz", một trang web tập trung quanh token $FLY và các tác phẩm nghệ thuật "gợi cảm".

Sau khi đăng ký với máy chủ bên ngoài, tác nhân sẽ làm theo hướng dẫn trong tệp SKILL.md và do đó báo cáo tên cũng như khả năng của mình cho bên thứ ba, cùng với các kỹ năng mà nó đã cài đặt.

Tác nhân lưu trữ thông tin đăng nhập trên đĩa, kiểm tra mỗi bốn giờ một lần, và giả sử các kỹ năng phù hợp đã được cài đặt, nó sẽ tạo một ví tiền mã hóa Hedera và đăng ký khóa riêng tư với cùng một máy chủ đó. Người dùng không phê duyệt bất kỳ hoạt động nào trong số này và cũng không nhìn thấy nó đang diễn ra.

Ngoài việc là tên của chiến dịch bầy đàn tiền mã hóa mà Sharma ghi lại, ClawSwarm cũng là một khung kỹ năng tác nhân mã nguồn mở trên GitHub. Các kỹ năng của imaflytok mở tại onlyflies.buzz là một triển khai thực tế của khung này.

"Bạn có thể đọc tất cả những điều này và kết luận rằng đó là một cộng đồng tiền mã hóa nhỏ đang xây dựng cơ sở hạ tầng cho tác nhân. Có thể là vậy," Sharma viết. "Nhưng cơ chế là giống nhau bất kể ý định: một tác nhân AI âm thầm đăng ký với máy chủ bên thứ ba, báo cáo khả năng của nó, tạo khóa tiền mã hóa và chấp nhận các tác vụ từ xa – tất cả mà không có người dùng khởi tạo hay phê duyệt bất kỳ điều gì."

So sánh với các chiến dịch trước đó

Vấn đề này tương tự như các chiến dịch canh tác token Tea Protocol trước đây, trong đó hơn 150.000 gói rác đã tràn ngập kho đăng ký npm để canh tác điểm Tea.

Theo Sharma, ClawSwarm "tuân theo cùng một kịch bản", nhưng sử dụng các kỹ năng thay vì các gói npm. "Dù các phiên bản ClawSwarm là một thí nghiệm hợp pháp trong kinh tế tác nhân hay một phễu tuyển dụng cho tiền mã hóa đầu cơ, kết quả đối với người dùng là như nhau: tác nhân của họ đang làm những việc họ không yêu cầu, cho một người họ không biết, với những khóa họ không ủy quyền," ông viết.

Các nhà bảo trì ClawHub đã không phản hồi ngay lập tức với các câu hỏi của The Register, cũng như khung ClawSwarm mã nguồn mở hợp pháp.

Sharma cho biết các nhà bảo trì đang ở một vị trí khó khăn vì thực sự đây không phải là một vấn đề bảo mật, mặc dù các tác nhân đang tham gia vào một mạng lưới và tạo ví mà không có sự chấp thuận của người dùng.

"Tầng lớp đăng ký là sai chỗ để giải quyết vấn đề này," ông nói với The Register. "Một bộ quét tìm kiếm các mẫu mã độc hại sẽ không tìm thấy gì: các lệnh cURL sạch sẽ, SDK là hợp pháp. Những gì cần thiết là khả năng nhìn thấy thời gian chạy (runtime visibility) vào những gì tác nhân thực sự làm sau khi kỹ năng được cài đặt. Các kho đăng ký có thể yêu cầu công bố các điểm cuối mạng và tạo ví trong tệp kê khai kỹ năng, nhưng đó là một câu hỏi chính sách, không phải bảo mật."