OpenClaw: 5 skill malevole aggirano scanner AI per mesi

Unit 42 di Palo Alto Networks ha identificato cinque skill malevole persistenti sulla piattaforma ClawHub tra febbraio e maggio 2026, tutte attive nonostante l'integrazione di VirusTotal e ClawScan avvenuta a marzo dello stesso anno. Il caso conferma che il modello di permessi degli agenti AI — dove installare una skill equivale a cederne l'identità digitale completa — crea una superficie di attacco della supply chain priva di controlli equivalenti a quelli di app store o package manager consolidati.

Come una skill di TradingView diventa un infostealer macOS

La skill "tradingview-ai-indicator-assistant" illustra il pattern di attacco. Apparentemente offre assistenza per indicatori di mercato. In realtà, secondo il report di Unit 42, il suo README.md contiene un prerequisito che reindirizza a rentry[.]co/openclaw-code. Da lì il payload viene scaricato dall'IP 2.26.75[.]16, path /Xuvewuyur.

Il payload, hash SHA256 818aea6143282b352fdfdc0f3ebf77a36e54eb3befb5cad1a355a99ab97c6aa7, è classificato come infostealer macOS diverso da Atomic macOS Stealer (AMOS). La skill stessa ha hash SHA256 b6c7e0bf573b1c7d9d3a05eb08d26579199515b847df984862805f44a7af8007.

Il meccanismo non richiede exploit di vulnerabilità software nel senso convenzionale. Unit 42 documenta che le skill malevole "utilizzano semantic instruction hijacking per aggirare vincoli tecnici": abusano dell'interpretazione del linguaggio naturale dell'agente per ottenere esecuzione nel suo contesto privilegiato, inclusi file system, shell e credential manager.

Il padding di 22 MB che inganna VirusTotal

La skill "omnicogg" rappresenta la variante evasiva. Il payload AMOS è collocato all'inizio del file README.md, seguito da 22 MB di padding che spingono il file oltre le soglie di analisi degli scanner automatizzati. JFrog Security Research ha divulgato questa tecnica a marzo 2026. Il risultato: verdetto pulito da VirusTotal, stato "in review" da ClawScan a metà maggio.

L'hash SHA256 della skill è b30eaed1f7478c28f4ec50d07ed5ef014ffbc4b2bc5a38d689ba9f7abb5e19c2. La persistenza dell'infrastruttura C2 AMOS all'IP 91.92.242[.]30 — attiva oltre tre mesi dopo la prima divulgazione — indica che gli operatori non hanno disinvestito la campagna nonostante la pubblica esposizione.

Il dato di sistema: 4 skill su 5 non fanno quello che dichiarano

La ricerca correlata di Unit 42 su Behavioral Integrity Verification (BIV) fornisce la dimensione sistemica del problema. Analizzate 49.943 skill, sono state rilevate 250.706 deviazioni comportamentali totali. L'80,0% delle skill — 39.933 — presenta almeno una mismatch tra dichiarazione e comportamento effettivo.

Il 18,9% delle deviazioni classificate è attribuibile a intento avversario, non a errore di documentazione. Di queste, il 60% si concentra su furto credenziali e spionaggio, seguito da payload/infrastruttura e agent hijacking. Le minacce finanziarie, destruttive o di ingegneria sociale rappresentano meno dell'1%.

Un dato operativo specifico: il 5,0% del registro, pari a 2.490 skill, porta catene di attacco multi-stadio che richiedono revisione di sicurezza obbligatoria. Di queste, l'88% ricade in due pattern: silent credential exfiltration e instruction-override hijacking.

"The agent-skill ecosystem now stands where mobile applications and browser extensions were a decade ago. Extensibility has outpaced the supply-chain audit primitives that should gate it" — Unit 42, Palo Alto Networks

Le minacce "agentiche" che manipolano il ciclo decisionale

Delle cinque skill malevole identificate da Unit 42, due rappresentano categorie che il report definisce "minacce agentiche finanziarie emergenti": runtime agentic affiliate injection e agentic front-running. Entrambe sfruttano il ciclo decisionale autonomo dell'agente per manipolazione finanziaria.

La fonte non specifica se queste tecniche abbiano generato profitti effettivi per gli operatori. Il dossier non documenta inoltre quanti utenti o organizzazioni abbiano installato le skill malevole identificate, né se le 5 skill rappresentino l'intero universo di minacce attive nel periodo febbraio-maggio 2026 o un campione di fenomeno più ampio.

La collaborazione tra OpenClaw e NVIDIA, annunciata il 1 giugno 2026, riguarda documentazione delle skill e analisi automatizzata. Il dossier non specifica se questa partnership abbia già prodotto risultati concreti nella riduzione delle skill malevole.

Cosa fare adesso

Per le organizzazioni che utilizzano OpenClaw, Unit 42 indica tre azioni prioritarie basate sui pattern documentati.

Primo: verificare se le skill installate rientrano nel 5,0% del registro con catene multi-stadio. Le 2.490 skill con deviazioni critiche sono concentrati in due pattern identificabili — silent credential exfiltration e instruction-override hijacking — che possono essere segnalati tramite audit delle capability dichiarate rispetto al comportamento effettivo.

Secondo: trattare le skill con verdetto "in review" da ClawScan come non attendibili. La skill "omnicogg" ha dimostrato che questo stato non impedisce la distribuzione: VirusTotal ha restituito verdetto pulito nonostante il payload AMOS presente nel file.

Terzo: monitorare il traffico verso gli IP 91.92.242[.]30 e 2.26.75[.]16. L'infrastruttura C2 AMOS è rimasta attiva oltre tre mesi dalla divulgazione, con nuove skill che continuano a utilizzarla. La presenza di connessioni verso questi indirizzi indica installazione di payload documentati nel report.

Il contesto di volume iniziale fornisce la scala del problema: il 17% di skill con payload malevoli rilevato da Bitdefender Labs nelle prime settimane dopo il rilascio, e 341 skill malevoli nella campagna ClawHavoc documentata da Koi Security. Trend Micro ha confermato skill che distribuivano malware AMOS.

Perché è importante

Il brief di Unit 42 non documenta misure correttive specifiche da parte di OpenClaw oltre l'integrazione di VirusTotal e ClawScan già dimostratasi insufficiente. Non è riportato l'esistenza di meccanismi di firma crittografica o provenance per le skill di ClawHub.

La fonte non specifica se le skill malevole siano ancora disponibili al momento del report; Unit 42 riporta takedown, ma le infrastrutture C2 rimangono attive. Non è chiaro inoltre se l'analisi BIV del 5% di skill multi-stadio includa o meno le 5 skill documentate nel report incidente.

Il limite metodologico è evidente: scanner progettati per malware convenzionale — che cercano pattern binari, firme di codice, anomalie nel formato eseguibile — non rilevano istruzioni semantiche che manipolano l'AI stessa attraverso il linguaggio naturale. Il "semantic instruction hijacking" non lascia traccia nel formato che gli strumenti tradizionali sono costruiti per esaminare.

Cosa rimane da verificare

L'assenza di CVE per queste minacce — nessun advisory ZDI/GHSL è rilevato nel dossier — riflette la natura del problema: non si tratta di vulnerabilità software patchabili, ma di un modello di architettura dove la separazione tra logica della skill e autorità dell'agente non esiste per design. "The lack of isolation between skill logic and agent authority means that installation results in complete control over the agent's identity", scrive Unit 42.

La domanda che il dossier solleva ma non risolve è quanto questo pattern si estenda oltre OpenClaw. Se il 80% delle skill presenta deviazioni comportamentali nel marketplace più analizzato, il dato è un campanello di allarme per ogni ecosistema agentic che replichi lo stesso modello di permessi.

Il report di Unit 42 non documenta se attori specifici siano attribuibili alle campagne descritte. Non emergono sovrapposizioni infrastrutturali che colleghino le cinque skill a un unico operatore allo stato attuale.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti

• https://unit42.paloaltonetworks.com/openclaw-ai-supply-chain-risk/
• https://unit42.paloaltonetworks.com/ai-agent-supply-chain-risks/
• https://blog.talosintelligence.com/a-deep-dive-into-lokibot-infection-chain/