जादू से malware तक: OpenClaw की Agent capabilities malware डिलीवरी का ज़रिया कैसे बन गईं?

 (1password.com)
15 पॉइंट द्वारा princox 2026-02-11 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें

शीर्षक को थोड़ा बदला गया है। सटीक अंग्रेज़ी शीर्षक लगभग यह होगा: 'जादू से malware तक: OpenClaw की agent skills कैसे attack surface बनती हैं'।

यह 2 फ़रवरी 2026 की पोस्ट है, और पढ़ने लायक लगी इसलिए साझा कर रहा हूँ।

जादू से malware तक: OpenClaw की agent skills कैसे attack surface बनती हैं

शुरुआत: agent की ताकत ही जोखिम क्यों बन जाती है

कुछ दिन पहले, मैंने एक लेख पोस्ट किया था कि OpenClaw मुझे भविष्य की ओर जाने वाले एक portal जैसा क्यों लगता है, और वह भविष्य इतने ठोस तरीके से डरावना क्यों है।

संक्षेप में बात यह है। OpenClaw जैसे agent gateway शक्तिशाली हैं क्योंकि वे वास्तव में आपकी files, tools, browser, terminal, और आपकी सोचने की शैली व कामकाज को समेटे दीर्घकालिक "memory" files तक पहुँच सकते हैं। यही संयोजन ठीक वही है जिसे आधुनिक infostealer malware निशाना बनाता है।

यह लेख उसी असहज, "और आखिरकार वही हुआ" वाली अगली कहानी है।

मुद्दा सिर्फ़ यह नहीं है कि install होने के बाद agent खतरनाक हो सकते हैं। agent capabilities और skill registry को वितरित करने वाला ecosystem खुद ही पहले से एक attack surface बन चुका है।

⚠️ चेतावनी: कंपनी के device पर OpenClaw का इस्तेमाल न करें

अगर आप OpenClaw के साथ experiment कर रहे हैं, तो इसे कंपनी के device पर बिल्कुल न करें। यह बात पूरी तरह स्पष्ट है।

अपने पहले लेख में मैंने OpenClaw को एक तरह का Faustian bargain बताया था। OpenClaw आकर्षक इसलिए है क्योंकि उसे आपके local machine, apps, browser sessions, files, और long-term memory तक वास्तविक पहुँच मिलती है। लेकिन यही समान access यह भी दिखाती है कि जिस machine पर corporate credentials हों या production systems तक पहुँच हो, उस पर इसे सुरक्षित रूप से चलाने का अभी कोई तरीका नहीं है।

अगर आपने पहले से अपने work device पर OpenClaw चलाया है, तो इसे संभावित security incident मानें और तुरंत security team से संपर्क करें। लक्षण दिखने का इंतज़ार न करें। उस machine पर काम रोक दें और अपनी organization की incident response प्रक्रिया का पालन करें।

skill सिर्फ़ Markdown files हैं, और समस्या भी यही है

OpenClaw ecosystem में "skill" आम तौर पर एक Markdown file होती है। यह एक पन्ने का instruction set होता है जो agent को बताता है कि कोई विशेष काम कैसे करना है। वास्तव में इस Markdown में links, copy-paste commands, tool call recipes जैसी चीज़ें शामिल हो सकती हैं।

यह तब तक हानिरहित लगता है, जब तक आप यह न सोचें कि इंसान और agent वास्तव में दस्तावेज़ों का उपयोग कैसे करते हैं:

  • "यहाँ prerequisites हैं।"
  • "यह command चलाइए।"
  • "मुख्य dependency install कीजिए।"
  • "इसे terminal में paste कीजिए।"

agent ecosystem में Markdown सिर्फ़ "content" नहीं है। Markdown installer है।

खतरनाक ग़लतफ़हमी: "MCP skills को सुरक्षित बनाता है"

कुछ लोग मान लेते हैं कि MCP(Model Context Protocol) layer इसे अधिक सुरक्षित बना देती है। वजह यह है कि tools structured interface के माध्यम से expose होते हैं, और host तथा server implementation के आधार पर explicit user consent और authorization control संभव हो सकता है।

लेकिन skills को MCP इस्तेमाल करने की बिल्कुल भी ज़रूरत नहीं है।

agent skill specification Markdown body पर कोई सीमा नहीं लगाती, और skill में "agent को काम करने में मदद करने वाले" किसी भी प्रकार के instructions शामिल हो सकते हैं। इसमें terminal copy-paste commands भी आती हैं। और skills, Markdown के साथ scripts को bundle भी कर सकती हैं, जिससे execution MCP tool boundary के बाहर हो सकता है।

इसलिए अगर आपका security model यह है कि "MCP tool calls को control करेगा", तो भी आप social engineering, direct shell instructions, या bundled code के जरिए MCP को bypass करने वाली malicious skills का शिकार हो सकते हैं। MCP एक सुरक्षित system का हिस्सा हो सकता है, लेकिन अपने आप में सुरक्षा की गारंटी नहीं है।

उतना ही महत्वपूर्ण यह है कि यह सिर्फ़ OpenClaw की समस्या नहीं है। "skills" अब अधिक portable होती जा रही हैं क्योंकि कई agents खुला Agent Skills format अपना रहे हैं। इस format में skill, metadata और free-form instructions वाले folder के रूप में होती है, जिसका केंद्र एक SKILL.md file होती है, और इसमें scripts व अन्य resources भी bundle किए जा सकते हैं। OpenAI documentation भी यही बुनियादी संरचना बताती है (SKILL.md file + optional scripts और assets)। इसका मतलब है कि malicious "skills" सिर्फ़ OpenClaw की समस्या नहीं, बल्कि एक ऐसा distribution mechanism हैं जो उसी standard को support करने वाले हर agent ecosystem में फैल सकता है।

जो मिला: सबसे ज़्यादा download की गई skill malware delivery mechanism निकली

जब मैं ClawHub (स्पष्ट कारणों से यहाँ link नहीं दूँगा) देख रहा था, तब मैंने पाया कि उस समय सबसे ज़्यादा download की गई skill "Twitter" skill थी। वह सामान्य लग रही थी। description, intended use, overview—सब कुछ ऐसा कि कोई भी बिना ज़्यादा सोचे install कर ले।

लेकिन इस skill ने सबसे पहले "openclaw-core" नाम की एक "required dependency" पेश की और platform-specific installation steps दिए। इन steps में सुविधाजनक links ("here", "this link") थे जो सामान्य documentation links जैसे दिखते थे।

लेकिन वे सामान्य links नहीं थे।

दोनों links malicious infrastructure की ओर जाते थे। यह एक typical staged delivery flow था:

  1. skill का overview आपको prerequisites install करने के लिए कहता है।
  2. link एक staging page पर ले जाता है जिसे इस तरह बनाया गया है कि agent commands चला दे।
  3. वह command obfuscated payload को decode करके चलाती है।
  4. payload stage-2 script को fetch करता है।
  5. script binary download करके चलाती है। इसमें macOS quarantine attribute हटाने की प्रक्रिया भी शामिल होती है ताकि macOS का built-in anti-malware system Gatekeeper उसे scan न कर सके।

मैं जानबूझकर सटीक commands या URLs यहाँ paste नहीं करूँगा। दुर्भाग्य से mechanism काफ़ी सरल है, और उसे दोहराना defenders से ज़्यादा attackers के काम आएगा। महत्वपूर्ण बात यह है कि यह कोई "संदिग्ध link" भर नहीं था। यह installation instructions के रूप में छिपी एक पूरी execution chain थी।

पुष्टि हुई: infostealer malware

मैंने अंतिम binary को सुरक्षित रूप से download किया और उसे VirusTotal पर submit किया।

परिणाम अस्पष्ट नहीं थे। इसे macOS infostealer malware के रूप में पहचाना गया।

यह सिर्फ़ ऐसा malware नहीं है जो "कंप्यूटर को infect" कर दे। यह उस device पर मौजूद हर मूल्यवान चीज़ को लूटने के लिए बना है:

  • browser sessions और cookies
  • stored credentials और autofill data
  • developer tokens और API keys
  • SSH keys
  • cloud credentials
  • ऐसी हर चीज़ जिसे account takeover में बदला जा सके

अगर आप agent skills install करने वाले व्यक्ति हैं, तो आपका machine वही target है जिसे चुराने लायक समझा जाता है।

यह एक isolated incident नहीं था, बल्कि एक संगठित campaign था

जब यह बात अंदरूनी तौर पर साझा की गई, तब बाद में आई व्यापक रिपोर्टिंग से इसका पैमाना सामने आया। रिपोर्टों के मुताबिक़ सैकड़ों OpenClaw skills, ClickFix शैली के instructions के जरिए macOS malware वितरित करने में शामिल थीं।

यह विवरण इसलिए महत्वपूर्ण है क्योंकि यह स्पष्ट करता है कि वास्तव में मामला क्या है।

यह कोई एकबारगी malicious upload नहीं था।

यह एक जानबूझकर अपनाई गई रणनीति है: "skills" को distribution channel की तरह और "prerequisites" को social engineering की packaging की तरह इस्तेमाल करना।

जब "helpful" चीज़ agent दुनिया में "hostile" बन जाती है

हम वर्षों से यह सीखते आए हैं कि package managers और open source registries supply chain attack vectors बन सकते हैं।

agent skill registries उसका अगला अध्याय हैं। फ़र्क सिर्फ़ इतना है कि यहाँ "package" ही दस्तावेज़ बन गया है।

और यही बात attack path को और भी smooth बना देती है:

  • लोग उम्मीद नहीं करते कि Markdown file खतरनाक होगी।
  • लोगों को installation steps जल्दी-जल्दी follow करने की आदत होती है।
  • लोग "सबसे ज़्यादा downloaded" को वैधता के proxy signal की तरह मान लेते हैं।
  • agent ecosystem में instructions पढ़ने और उन्हें execute करने के बीच की सीमा ढह जाती है।

भले ही agent सीधे shell commands execute न कर सके, फिर भी वह खतरनाक काम कर सकता है। वह खतरनाक व्यवहार को सामान्य बना सकता है।

वह malicious prerequisites को "standard installation steps" के रूप में आत्मविश्वास से summarize कर सकता है। वह आपको one-liner paste करने के लिए प्रेरित कर सकता है। वह आपकी हिचक कम कर सकता है।

और अगर आपका agent local commands चला सकता है, तो malicious skill सिर्फ़ "खराब content" नहीं है। वह friendly documentation में पैक किया गया remote code execution है।

अभी क्या करना चाहिए

अगर आप OpenClaw या skill registry इस्तेमाल कर रहे हैं

इसे कंपनी के device पर न चलाएँ। इसका कोई सुरक्षित तरीका नहीं है। अगर आप ऐसा कर चुके हैं, या किसी skill से "install" command चला चुके हैं, तो तुरंत security team से संपर्क करें और इसे संभावित compromise की तरह treat करें।

  • उस device पर sensitive काम बंद करें।
  • sessions और secrets को पहले rotate करें: browser sessions, developer tokens, SSH keys, cloud console sessions।
  • recent logins की समीक्षा करें: email, source control, cloud, CI/CD, admin consoles।

अगर आप फिर भी experiment करना चाहते हैं, तो ऐसी isolated machine इस्तेमाल करें जिसके पास corporate access न हो और जिसमें stored credentials न हों।

अगर आप skill registry चलाते हैं

आप मूल रूप से एक app store चला रहे हैं। मानकर चलिए कि उसका दुरुपयोग होगा।

  • one-liner install commands, encoded payloads, quarantine removal, और password-protected archives के लिए scan करें।
  • source verification और publisher reputation systems जोड़ें।
  • external links और installation steps पर warnings और friction जोड़ें।
  • top-ranked skills की समीक्षा करें और malicious skills को तेज़ी से हटाएँ।

यहाँ Markdown executable intent है।

अगर आप agent framework बना रहे हैं

मानकर चलिए कि skills को weaponize किया जाएगा।

  • shell execution को default-deny रखें।
  • browser, keychain, और credential stores की access को sandbox करें।
  • permissions को specific, time-bound, और revocable बनाएँ।
  • remote code और command execution पर friction जोड़ें।
  • source और behavior की end-to-end logging करें।

भविष्य के लिए डिज़ाइन: agents के लिए ज़रूरी trust layer

यह मेरे पिछले लेख के दावे का सबसे स्पष्ट प्रमाण है। OpenClaw शक्तिशाली इसलिए है क्योंकि यह intent और execution के बीच की दूरी को मिटा देता है। यही उसका जादू है। लेकिन इसके साथ बड़ा जोखिम भी आता है। जब capabilities skills के रूप में वितरित होती हैं और documents के जरिए install की जाती हैं, तब registry supply chain बन जाती है, और सबसे आसान installation path ही attackers का सबसे पसंदीदा path बन जाता है।

समाधान agents बनाना बंद करना नहीं है। समाधान यह है कि agents के चारों ओर वह missing trust layer बनाई जाए। skills के लिए source attestation चाहिए। execution के लिए mediation चाहिए। permissions specific, revocable, और लगातार लागू रहने वाली होनी चाहिए—एक बार grant करके भुला देने वाली नहीं। अगर agents हमारी ओर से काम करेंगे, तो credentials और sensitive actions ऐसे नहीं होने चाहिए कि जो भी code अभी चल रहा हो वह उन्हें बस "ले" सके। इन्हें broker किया जाना चाहिए, govern किया जाना चाहिए, और real time में audit किया जाना चाहिए।

इसीलिए हमें वह अगली layer चाहिए। ऐसी दुनिया में जहाँ "skills" supply chain बन चुकी हैं, सुरक्षित भविष्य वही है जिसमें हर agent की अपनी identity हो, उसके पास केवल अभी के लिए आवश्यक न्यूनतम permission हो, और वह access time-bound, revocable, तथा traceable हो।

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.