Unit 42 beschreibt die fünf Skills als Beispiel dafür, dass Marktplätze für KI-Agenten zu einer wichtigen Angriffsfläche in der Software-Lieferkette werden. OpenClaw hat seit seiner Einführung im vergangenen November nach Angaben der Forscher schnell Verbreitung bei Entwicklern und Unternehmen gefunden. Gerade weil OpenClaw Drittanbieter-Skills von ClawHub ausführt, wird der Marktplatz zu einem kritischen Glied in dieser agentischen Lieferkette.
Nach Angaben von Unit 42 lassen sich die Funde in drei Gruppen einteilen. Zwei Skills enthielten Infostealer mit Verbindung zu einer Command-and-Control-Infrastruktur; die Malware zielte laut Analyse auf macOS. Ein weiterer Skill diente der Umgehung von Erkennungssystemen, indem er eine künstlich aufgeblähte Dateigröße nutzte, die Schwellenwerte von Scannern überschreiten konnte und so sowohl ClawScan als auch die Erkennung durch VirusTotal umging.
Die beiden übrigen Skills ordnet Unit 42 agentischen Bedrohungen zu. Dazu zählen „agentische Affiliate-Injektion“ und „agentisches Front-Running“, die die Entwickler der Skills laut den Forschern für finanzielle Gewinne einsetzen konnten. Insgesamt eröffneten die Pakete Angreifern die Möglichkeit, Zugangsdaten und sensible Daten zu stehlen, Dateien und Systeminformationen abzuziehen, das Verhalten von Agenten über versteckte Anweisungen zu manipulieren, unautorisierte Aktionen im Namen des Nutzers auszuführen und den Zugriff auf verbundene Dienste und Workflows zu missbrauchen.
Die Sicherheitsprobleme rund um OpenClaw sind nicht neu. Unit 42 verweist darauf, dass nach der schnellen Verbreitung der Plattform mehrere Sicherheitsbedenken entstanden. Bitdefender Labs meldete Anfang Februar 2026, dass etwa 17 Prozent der von ihnen in den ersten Wochen nach Start der Plattform analysierten OpenClaw-Skills schädliche Nutzlasten enthielten. Koi Security dokumentierte in seiner ClawHavoc-Untersuchung früher in diesem Jahr 341 bösartige Skills. Trend Micro bestätigte laut Unit 42 zudem separat Skills, die die Malware Atomic macOS Stealer, kurz AMOS, über den Marktplatz verbreiteten.
ClawHub hatte als Reaktion VirusTotal und ClawScan integriert, um veröffentlichte Skills proaktiv zu prüfen und per Code-Analyse als schädlich markierte Pakete zu blockieren. Dennoch konnten die fünf von Unit 42 entdeckten Skills diese automatischen Prüf- und Analysemechanismen umgehen. Johan Edholm, Sicherheitsingenieur und Mitgründer des Anwendungssicherheitsanbieters Detectify, erklärte dazu, die vollständige Erkennung aller bösartigen Inhalte sei „im Allgemeinen ein schwer zu lösendes Problem“. Skills seien letztlich Sammlungen von Anweisungen in natürlicher Sprache, die der Agent lese und denen er vertraue.
Weil große Sprachmodelle diese Anweisungen interpretieren, reichen statische Prüfungen laut Edholm nicht aus, um böswillige Absichten zuverlässig zu erkennen. Eine vollständige manuelle Vorabprüfung aller Veröffentlichungen würde dagegen einen Engpass schaffen. Der Einsatz von LLMs zur Prüfung könne helfen, sei aber nicht perfekt; Edholm vergleicht die Lage mit einem Katz-und-Maus-Spiel wie bei klassischer Malware.
Besonders anschaulich wird das an einzelnen Beispielen aus der Analyse. Der Skill „omnicogg“ versteckte einen Malware-Downloader in einer README-Datei, die mit nutzlosen Daten aufgebläht war, um Verarbeitungsgrenzen automatisierter Scanner zu überschreiten. „money-radar“, ein angeblicher Skill für Finanzberatung, sollte Agentenempfehlungen zu Gunsten des Betreibers manipulieren: Nach Angaben von Unit 42 leitete das Paket sämtliche Finanzempfehlungen über Affiliate-Links einer als bösartig bekannten Domain, während der Herausgeber nach der Installation dynamisch steuern konnte, welche Produkte beworben wurden.
Als besonders einfallsreich und gefährlich beschreibt Unit 42 den Skill „letssendit“. Er koordiniert demnach ein Pump-and-Dump-Schema für Meme-Token, indem Agenten angewiesen werden, Gelder in Wallets des Betreibers zu bündeln. Dieser kann die Token dann vor der dadurch entstehenden Nachfrage erwerben und von späteren Preissteigerungen profitieren. Unit 42 sieht darin einen neuartigen Einsatzfall für KI-Agenten in einem autonomen Schema zur finanziellen Manipulation.
Unit 42 meldete alle fünf Skills an ClawHub. Laut dem Blogeintrag löschten die Administratoren anschließend sämtliche Pakete und sperrten die zugehörigen Konten. Die Forscher empfehlen unter anderem ein strenges Verfahren zur Verifikation der Lieferkette, einschließlich Prüfung der Herkunft von Herausgebern und einer zeilenweisen Überprüfung von Paketquellen. Edholm rät außerdem dazu, ausgehenden Datenverkehr zu überwachen und Verbindungen zu nicht dokumentierten Zielen besonders genau zu prüfen.