Infostealer po raz pierwszy kradnie „sekrety” OpenClaw: nowy wektor ryzyka dla lokalnych agentów AI

Wprowadzenie do problemu / definicja luki

Klasyczne infostealery kojarzą się z kradzieżą haseł z przeglądarek, ciasteczek sesyjnych, danych portfeli krypto i plików konfiguracyjnych popularnych aplikacji. Teraz obserwujemy przesunięcie ciężaru: ten sam „hurtowy” mechanizm wykradania plików zaczyna zbierać także sekrety agentów AI uruchamianych lokalnie – na przykład OpenClaw, który przechowuje tokeny, klucze i trwałą pamięć kontekstu na stacji roboczej użytkownika.

To nie jest „exploit w OpenClaw” w rozumieniu CVE. To raczej zmiana wartości kradzionych danych: agent AI staje się koncentratorem dostępu do usług (poczta, komunikatory, kalendarze, API), więc jego konfiguracja jest dla atakujących wyjątkowo opłacalna.

W skrócie

• Odnotowano pierwszy przypadek „in-the-wild”, gdzie infostealer wykradł środowisko konfiguracyjne OpenClaw i pliki zawierające tokeny/klucze/pamięć agenta.
• Według relacji badaczy, próbka wyglądała na wariant Vidar; kradzież nastąpiła 13 lutego 2026 (data infekcji/eksfiltracji wskazana w opisie incydentu).
• Nie był to jeszcze „dedykowany moduł pod OpenClaw” – raczej szerokie file-grabbing po słowach kluczowych typu „token”, „private key”, które „zahaczyło” o katalog konfiguracyjny OpenClaw.

Kontekst / historia / powiązania

OpenClaw to agent AI uruchamiany lokalnie, utrzymujący trwałą konfigurację i pamięć na urządzeniu użytkownika oraz integrujący się z usługami online (co oznacza realne tokeny, klucze API i dane sesyjne).

Równolegle rośnie drugi front ryzyka: ekosystem rozszerzeń/„skills”. 1Password opisywał przypadki, w których popularne „skills” pełniły rolę nośnika malware (instrukcje instalacji, socjotechnika, skrypty etapowe), a autorzy podkreślali, iż przenośny format „skills” może stać się problemem między różnymi platformami agentów.

Na to nakłada się szerszy trend: infostealery coraz częściej wychodzą poza klasyczne scenariusze Windows i intensywnie uderzają też w macOS, wykorzystując socjotechnikę, malvertising i „ClickFix” (nakłanianie do wklejania komend w Terminalu), aby kraść hasła, tokeny, dane przeglądarek, keychain i „developer secrets”.

Analiza techniczna / szczegóły luki

Co zostało skradzione?

W opisywanym incydencie skradzione miały zostać m.in. pliki:

• openclaw.json – zawierał m.in. (zredagowany) e-mail, ścieżki workspace oraz token uwierzytelniający bramę (gateway token) o wysokiej entropii. Taki token może umożliwić podszycie się w zapytaniach uwierzytelnionych, a w pewnych warunkach także zdalne połączenie do lokalnej instancji (jeśli jest wystawiona/osiągalna z sieci).
• device.json – zawierał parę kluczy (public/private) do parowania i podpisywania. Prywatny klucz może potencjalnie umożliwić podpisywanie komunikatów jak „zaufane urządzenie” i obejście niektórych kontroli opartych o tożsamość urządzenia.
• soul.md oraz pliki pamięci (np. AGENTS.md, MEMORY.md) – opis zachowania agenta i trwały kontekst: logi aktywności, wiadomości prywatne, zdarzenia z kalendarza itp.

Jak to zostało zebrane?

Wg opisu, stealer nie „polował” na OpenClaw z precyzją modułu, tylko realizował masowe przeszukiwanie i eksfiltrację plików na podstawie rozszerzeń, ścieżek i słów kluczowych typu „token” / „private key”. Katalog konfiguracyjny OpenClaw po prostu pasował do heurystyki.

Dlaczego to ważne dla obrońców?

To sygnał, iż agent AI staje się dla przestępców tym, czym kiedyś stała się przeglądarka: „portfelem” sesji, tokenów i tożsamości. Hudson Rock (cytowany w mediach) przewiduje, iż kolejnym krokiem będą dedykowane moduły rozumiejące strukturę plików agentów, analogicznie do modułów pod Chrome/Telegram.

Praktyczne konsekwencje / ryzyko

1. Przejęcie usług spiętych z agentem
   Tokeny i klucze API mogą otworzyć dostęp do poczty, kalendarzy, komunikatorów czy integracji automatyzacji – zależnie od tego, co użytkownik podpiął do agenta.
2. „Kradzież tożsamości” agenta i kontekstu
   Wykradzenie pamięci (logów, wiadomości, zdarzeń) to nie tylko prywatność. To także materiał do: BEC, spear phishingu, oszustw „na kontekst”, szantażu, a w firmach – do dalszej eskalacji (np. poprzez znajomość procesów i narzędzi).
3. Łatwiejsze ataki następcze
   Infostealery bywają „etapem 0” przed ransomware lub włamaniami domenowymi: kradną dostęp, który potem jest monetyzowany przez inne grupy. Trend skali i zasięgu infostealerów (w tym na macOS) wzmacnia prawdopodobieństwo, iż takie incydenty będą częstsze.

Rekomendacje operacyjne / co zrobić teraz

Jeśli używasz OpenClaw (indywidualnie lub w firmie)

• Rotuj i unieważnij sekrety: klucze API, tokeny dostępu, tokeny bramy/gateway, sesje wpiętych usług. Zacznij od tych o najszerszych uprawnieniach.
• Sprawdź ekspozycję instancji: upewnij się, iż lokalna instancja nie jest przypadkiem wystawiona na świat (port-forward, publiczny adres, błędna konfiguracja). Zasada: agent lokalny ≠ usługa publiczna.
• Ogranicz dostęp do plików konfiguracyjnych: uruchamiaj agenta na osobnym koncie systemowym, minimalne uprawnienia do katalogów, wrażliwe pliki tylko dla właściciela (chmod/ACL).
• Przenieś sekrety do menedżera sekretów (tam gdzie to możliwe): ogranicz przechowywanie długowiecznych tokenów w plaintext w katalogach użytkownika.
• Podejście „zero-trust dla integracji”: przyznawaj agentowi najmniejsze możliwe scope’y, osobne konta techniczne, krótkie TTL tokenów, regularny przegląd integracji.

Jeśli bronisz organizacji (SOC/IR)

• Telemetria i detekcje na eksfiltrację: poluj na nietypowe archiwizowanie i wysyłkę katalogów konfiguracyjnych, zwłaszcza w katalogach użytkownika (tworzenie ZIP w /tmp itp.) oraz na podejrzane POST-y do świeżych domen. Microsoft opisuje te wzorce jako typowe w kampaniach stealerów.
• Zabezpieczenia przed socjotechniką: bloki na „ClickFix”, malvertising, fałszywe instalatory (DMG/PKG), polityki uruchamiania, App Control – bo to dziś jeden z głównych kanałów dostarczania stealerów również na macOS.
• Kontrola łańcucha dostaw „skills”: traktuj rozszerzenia agenta jak kod wykonywalny. Weryfikuj źródła, podpisy, review, skanuj repozytoria, izoluj środowisko uruchomieniowe. Case’y opisane w analizach „skills” pokazują, iż sama „bramka narzędziowa” (policy gating) nie wystarczy, jeżeli skill skłoni użytkownika/agenta do uruchomienia komend.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Tu nie ma (jeszcze) „modułu pod OpenClaw” – to istotna różnica. Incydent pokazuje, iż choćby prymitywne heurystyki kradzieży plików już trafiają w agentów AI, bo ich foldery zawierają klasyczne „sekretne” słowa/artefakty.
• „Skills” jako wektor dostarczenia vs. stealer jako etap kradzieży
  Kampanie złośliwych „skills” dotyczą częściej dostarczenia malware i przejęcia hosta przez social engineering/uruchamianie skryptów. Opisywany przypadek to etap po infekcji – stealer zbiera wartościowe dane, które teraz obejmują także „duszę” agenta (kontekst + sekrety).
• Szerszy trend: infostealery idą wieloplatformowo
  Microsoft wskazuje eskalację kampanii na macOS i użycie cross-platform (np. Python) oraz nadużywanie zaufanych kanałów dystrybucji. To zwiększa szansę, iż „sekrety agentów” będą kradzione niezależnie od systemu, jeżeli pliki leżą lokalnie.

Podsumowanie / najważniejsze wnioski

• Agent AI uruchamiany lokalnie to magnes na infostealery, bo kumuluje dostęp do wielu usług i przechowuje długowieczne sekrety.
• Pierwsze obserwacje pokazują „zwykłe” file-grabbing, ale logika rynku cyberprzestępczego sugeruje szybkie pojawienie się dedykowanych modułów do parsowania/odszyfrowywania danych agentów.
• Obrona powinna łączyć: rotację sekretów, ograniczenie ekspozycji instancji, twarde uprawnienia plików, kontrolę integracji oraz detekcje eksfiltracji, a także rygor dla „skills” jako kodu wykonywalnego.

Źródła / bibliografia

1. BleepingComputer – opis incydentu i lista wykradzionych plików OpenClaw (16 lutego 2026). (BleepingComputer)
2. The Hacker News – dodatkowy kontekst techniczny (gateway token, device keys, perspektywa rozwoju stealerów) (16 lutego 2026). (The Hacker News)
3. Microsoft Security Blog – „Infostealers without borders…” (kampanie na macOS, ClickFix, kradzież keychain/developer secrets, rekomendacje obrony) (2 lutego 2026). (Microsoft)
4. 1Password – analiza ryzyka „skills” jako powierzchni ataku i mechanizmów dostarczania malware (luty 2026). (1password.com)
5. Infostealers.com – tło dot. Vidar (charakterystyka kradzieży danych/telemetria infrastruktury) (31 grudnia 2023). (InfoStealers)