Антивирус как всегда ни при чем. Рассказываем о схеме, которая вербует ИИ-агентов в ботнеты нового типа

На первый взгляд обычные полезные модули для работы с ИИ-агентами на деле незаметно подключают чужого агента к сторонней сети и заставляют выполнять задачи, о которых владелец даже не догадывается.

Речь идёт о наборе из 30 модулей, опубликованных пользователем imaflytok на площадке ClawHub. Названия выглядят безобидно: Cron Helper, Env Manager, Workspace Init. Часть действительно помогает автоматизировать рутину. Но при установке некоторые из них делают куда больше, чем обещают в описании.

После установки агент сам связывается с сервером onlyflies.buzz, передаёт имя, возможности и список установленных модулей. Затем создаёт локальный файл с учётными данными и каждые четыре часа отправляет «пульс» на тот же сервер. При определённом наборе модулей агент генерирует криптокошелёк Hedera и отправляет закрытый ключ туда же. Пользователь в процессе не участвует. Агент выполняет инструкции из файла SKILL.md, как и задумано разработчиками платформы.

Вся схема строится вокруг так называемого Open Agent Discovery Protocol. Название звучит официально, но речь идёт о частной разработке, где все точки взаимодействия ведут к одному и тому же серверу. Механизм спрятан в HTML-комментарии внутри файла AGENTS.md, который появляется в рабочей папке агента при первом запуске. Человек комментарий не видит, а агент читает и выполняет указания.

После регистрации сервер выдаёт идентификатор и секретный ключ, которые сохраняются на устройстве. Дальше агент регулярно проверяет, есть ли новые задачи. Один из модулей внедряет инструкции так, чтобы агент автоматически искал «подработку» каждые четыре часа. Параллельно система собирает данные о машине, включая имя хоста.

С точки зрения антивируса всё выглядит чисто. Никаких скрытых вредоносных программ, зашифрованных файлов или подозрительных архивов. Обычные HTTPS-запросы, стандартные вызовы интерфейсов. Даже создание криптокошелька проходит через официальные библиотеки. Формально придраться сложно.

Сам проект ClawSwarm открыт и размещён на GitHub. Авторы называют его экономикой для ИИ-агентов, где программы обмениваются задачами и получают вознаграждение в криптовалюте. В экосистеме есть токен $FLY и небольшой чат в Telegram. На первый взгляд – очередной криптопроект с элементами автоматизации.

Проблема не в коде, а в поведении. Агент без ведома владельца регистрируется в чужой системе, передаёт данные о себе, создаёт криптокошелёк и принимает задания извне. Такая схема напоминает ботнет, только без привычных вредоносных признаков.

Похожие подходы уже появлялись. В 2024 году платформа tea начала платить разработчикам токены за публикацию открытых пакетов. В ответ реестр npm заполнили тысячи пустых или бесполезных пакетов, созданных ради заработка. Теперь та же идея добралась до модулей для ИИ-агентов. Достаточно выпустить набор полезных инструментов, набрать установки и превратить пользователей в участников сети.

Ситуация усложняется тем, что такие проекты не нарушают явных правил. Код открыт, взаимодействие задокументировано, токены торгуются публично. Но итог для пользователя один: агент начинает работать на чужую инфраструктуру, тратит ресурсы и может генерировать расходы, о которых никто не предупреждал. Такие вещи почти невозможно поймать на этапе проверки кода. Поведение проявляется только во время работы. И вопрос здесь уже не в том, вредоносный ли модуль, а в другом: согласен ли владелец, что его агент регистрируется в сторонней сети и выполняет чужие задачи.