에이전트 스킬스 골드 러시가 멀웨어 문제를 안고 있다
I’m happy to translate the article for you, but I’ll need the text you’d like translated. Could you please paste the content (or the portion you want translated) here? I’ll keep the source line unchanged and preserve all formatting, markdown, and technical terms as requested.
Rapid Growth of the Agent Skills Marketplace
Three weeks ago, ClawHub had roughly 2,800 skills in its registry. Today it has over 10,700. In that same window, security researchers found more than 800 malicious packages—approximately 20 % of the entire registry—primarily delivering the Atomic macOS Stealer. One user uploaded 354 malicious packages in what appears to have been an automated blitz.
There was no static analysis, no code review, and no signing requirement—just an open door and a welcome mat.
The skills marketplace isn’t limited to ClawHub any longer. The landscape has fractured into a dozen competing registries, each with its own trade‑offs between scale and safety:
- SkillsMP – 96,000+ skills, Claude Code compatibility, but zero security audit.
- MCP.so – 17,000+ MCP servers with universal compatibility.
- SkillHub – 7,000+ skills with AI‑based quality scoring (the scoring does not check security).
- Vercel – new entry with Skills.sh, a shell‑based ecosystem marketed as “npm for AI agents.”
The connective tissue across all of this is the SKILL.md open standard, adopted by Claude Code, Codex CLI, and Gemini CLI since Anthropic published it in December 2025. Skills are now portable across platforms—great for distribution, terrible for containment.
최신 보안 권고
- Conscia가 Censys와 Bitsight를 통해 30,000개가 넘는 인터넷에 노출된 OpenClaw 인스턴스를 발견했으며, 많은 인스턴스가 인증 없이 실행되고 있습니다.
- Bitdefender 텔레메트리는 기업 엔드포인트에서 OpenClaw가 “섀도우 AI”로 나타났으며, 이는 아무도 대비하지 못한 기업 보안 악몽이라고 확인했습니다.
- Microsoft는 OpenClaw를 안전하게 실행하기 위한 공식 가이드를 발표했으며, 여기에는 신원, 격리 및 런타임 위험이 포함됩니다. Microsoft가 여러분의 오픈소스 프로젝트에 대한 보안 가이드를 작성한다는 것은 채택 신호이면서 동시에 광범위한 오용에 대한 위험 신호이기도 합니다.
- Kaspersky는 ClawHub 스킬을 특정 대상으로 하는 AMOS 정보 탈취 캠페인을 문서화했습니다.
- SecurityWeek는 CVSS 8.8 점수를 받은 CVE‑2026‑25253에 대해 보도했으며, 이는 1월에 패치된 일회 클릭 원격 코드 실행 취약점이지만 여전히 많은 인스턴스에서 패치되지 않은 상태입니다.
- The Register는 주요 레지스트리 중 하나의 스킬 중 **7 %**가 LLM 컨텍스트 창을 통해 API 키가 유출되고 있음을 발견했습니다.
npm 공급 체인 위기와의 유사점
에이전트‑스킬 생태계가 npm 공급‑체인 위기를 10배 속도로 재현하고 있습니다:
- 진입 장벽이 낮은 공개 레지스트리.
- 자동화된 대량 퍼블리싱.
- 오타 스쿼팅 및 합법적인 이름처럼 보이는 패키지 뒤에 숨겨진 악성 페이로드.
핵심 차이점은 공격 표면입니다: 악성 npm 패키지는 빌드 파이프라인을 손상시키는 반면, 악성 에이전트 스킬은 에이전트 자체를 손상시킵니다. 에이전트는 파일, API, 자격 증명에 접근할 수 있으며 점점 더 전체 디지털 생활까지 접근할 수 있습니다.
Current Mitigations (Predictable and Insufficient)
- VirusTotal partnered with ClawHub for automatic malware scanning—necessary but reactive.
- SecureClaw launched as an open‑source auditing tool—useful but opt‑in.
- Snyk found that 36 % of scanned skills contained prompt injection, suggesting the problem extends beyond traditional malware into the gray zone of skills that manipulate agent behavior without deploying a payload.
Operators를 위한 권고사항
OpenClaw 또는 서드파티 스킬이 포함된 에이전트 프레임워크를 실행하고 있다면:
-
설치된 스킬 감사
openclaw security audit --deep명령어를 사용할 수 없는 경우 스킬 권한을 수동으로 검토하십시오. 쓰기 가능한 경로, 네트워크 접근, 혹은 자격 증명 요청을 선언하는 스킬은 특별히 면밀히 살펴야 합니다.
-
버전을 고정하고 출처를 검증
- 자동 업데이트를 비활성화하십시오.
- 모든 업데이트를 프로덕션 의존성 업그레이드처럼 다루고: 차이를 검토하고, 유지관리자 이력을 확인하고, 저장소를 검증하십시오.
-
책임 있게 크로스리스트
- 여러 레지스트리(예: SkillsMP)에 등록하면 가시성이 높아질 수 있지만, 보안을 염두에 두고 게시하십시오: 가능한 경우 localhost 전용, 최소 권한, 스킬이 접근하는 내용과 이유에 대한 명확한 문서화.
골드 러시가 실제이며, 청구권이 잡히고 있습니다. 그러나 이미 **20 %**의 영역이 채굴되었고, 많은 탐사자들이 여전히 맨발로 달리고 있습니다.
원본은 The Undercurrent에 게재되었습니다.