จากเวทมนตร์สู่มัลแวร์: ฟีเจอร์ Agent ของ Openclaw กลายเป็นช่องทางส่งมัลแวร์ได้อย่างไร

 (1password.com)
15 คะแนน โดย princox 2026-02-11 | 2 ความคิดเห็น | แชร์ทาง WhatsApp

ผมปรับชื่อเรื่องเล็กน้อย ชื่อภาษาอังกฤษที่ตรงกว่าจะประมาณว่า 'จากเวทมนตร์สู่มัลแวร์: วิธีที่ทักษะเอเจนต์ของ OpenClaw กลายเป็นพื้นผิวการโจมตี'

เป็นบทความวันที่ 2 กุมภาพันธ์ 2026 และคิดว่าน่าอ่านเลยนำมาแชร์ครับ

จากเวทมนตร์สู่มัลแวร์: วิธีที่ทักษะเอเจนต์ของ OpenClaw กลายเป็นพื้นผิวการโจมตี

เกริ่นนำ: ทำไมพลังของเอเจนต์จึงกลายเป็นความเสี่ยงได้

ไม่กี่วันก่อน ผมได้เขียนถึงเหตุผลที่ OpenClaw ให้ความรู้สึกเหมือนประตูสู่อนาคต และทำไมอนาคตนั้นจึงน่ากลัวในแบบที่เป็นรูปธรรมมาก

สรุปสั้น ๆ คือ เอเจนต์เกตเวย์อย่าง OpenClaw ทรงพลังเพราะมันเข้าถึงไฟล์ เครื่องมือ เบราว์เซอร์ เทอร์มินัล และไฟล์ "หน่วยความจำ" ระยะยาวที่บรรจุรูปแบบความคิดและเนื้องานของคุณได้จริง และส่วนผสมแบบนี้เองที่ตรงกับสิ่งที่ infostealer สมัยใหม่มุ่งเล่นงานพอดี

บทความนี้คือภาคต่อที่ชวนอึดอัดในแบบ "แล้วมันก็เกิดขึ้นจริงในที่สุด"

ปัญหาไม่ได้มีแค่ว่าเอเจนต์อาจอันตรายหลังติดตั้งแล้วเท่านั้น แต่ตัวระบบนิเวศที่ใช้แจกจ่ายฟีเจอร์และสกิลรีจิสทรีของเอเจนต์เอง ก็ได้กลายเป็นพื้นผิวการโจมตีไปแล้ว

⚠️ คำเตือน: อย่าใช้ OpenClaw บนอุปกรณ์ของบริษัท

หากคุณกำลังทดลองใช้ OpenClaw อย่าทำบนอุปกรณ์ของบริษัทโดยเด็ดขาด เรื่องนี้ชัดเจนมาก

ในบทความแรก ผมอธิบาย OpenClaw ว่าเป็นข้อตกลงแบบ Faustian เหตุผลที่ OpenClaw น่าดึงดูดก็เพราะมันเข้าถึงเครื่องโลคัล แอป เซสชันเบราว์เซอร์ ไฟล์ และหน่วยความจำระยะยาวของคุณได้จริง แต่สิทธิ์เข้าถึงแบบเดียวกันนี้ก็หมายความว่า ขณะนี้ยังไม่มีวิธีใช้งานมันอย่างปลอดภัยบนเครื่องที่ถือครองข้อมูลรับรองขององค์กรหรือเข้าถึงระบบ production ได้

หากคุณเคยรัน OpenClaw บนอุปกรณ์สำหรับงานมาแล้ว ให้ถือว่านี่อาจเป็นเหตุการณ์ด้านความปลอดภัย และติดต่อทีมความปลอดภัยทันที อย่ารอให้มีอาการก่อน ให้หยุดใช้งานเครื่องนั้นและทำตามขั้นตอนตอบสนองเหตุการณ์ขององค์กร

สกิลเป็นแค่ไฟล์ Markdown และนั่นแหละคือปัญหา

ในระบบนิเวศ OpenClaw "สกิล" มักเป็นไฟล์ Markdown เป็นเอกสารคำสั่งความยาวประมาณหนึ่งหน้าที่บอกเอเจนต์ว่าจะทำงานเฉพาะทางอย่างไร ในทางปฏิบัติ Markdown นี้อาจมีลิงก์ คำสั่งสำหรับคัดลอกไปวาง สูตรการเรียกใช้เครื่องมือ และอื่น ๆ

มันดูไม่อันตราย จนกว่าจะนึกถึงวิธีที่มนุษย์และเอเจนต์บริโภคเอกสารกันจริง ๆ:

  • "นี่คือข้อกำหนดเบื้องต้น"
  • "ให้รันคำสั่งนี้"
  • "ติดตั้ง dependency หลักนี้"
  • "วางสิ่งนี้ลงในเทอร์มินัล"

ในระบบนิเวศเอเจนต์ Markdown ไม่ได้เป็นแค่ "คอนเทนต์" ธรรมดา Markdown คือโปรแกรมติดตั้ง

ความเข้าใจผิดที่อันตราย: "MCP ทำให้สกิลปลอดภัย"

บางคนอาจคิดว่าเลเยอร์ MCP (Model Context Protocol) ทำให้เรื่องนี้ปลอดภัยขึ้น เพราะเครื่องมือถูกเปิดผ่านอินเทอร์เฟซที่มีโครงสร้าง และขึ้นอยู่กับโฮสต์กับการติดตั้งฝั่งเซิร์ฟเวอร์ ก็อาจมีการขอความยินยอมจากผู้ใช้อย่างชัดเจนและมีการควบคุมสิทธิ์ได้

แต่สกิลไม่จำเป็นต้องใช้ MCP เลยแม้แต่น้อย

สเปกของ agent skill ไม่ได้จำกัดอะไรในเนื้อหา Markdown และสกิลสามารถใส่คำสั่งใด ๆ ก็ได้ที่ "ช่วยให้เอเจนต์ทำงานได้" ซึ่งรวมถึงคำสั่งสำหรับคัดลอกไปวางในเทอร์มินัล และสกิลยังสามารถ bundle สคริปต์มาพร้อมกับ Markdown ได้ ทำให้เกิดการรันนอกขอบเขตเครื่องมือของ MCP

ดังนั้น หากโมเดลความปลอดภัยของคุณตั้งอยู่บนสมมติฐานว่า "MCP จะควบคุมการเรียกใช้เครื่องมือ" คุณก็ยังอาจโดนสกิลอันตรายที่ข้าม MCP ผ่าน social engineering, คำสั่ง shell โดยตรง หรือโค้ดที่ bundle มาด้วยได้ MCP อาจเป็นส่วนหนึ่งของระบบที่ปลอดภัยได้ แต่ตัวมันเองไม่ใช่หลักประกันความปลอดภัย

ที่สำคัญพอ ๆ กันคือ นี่ไม่ใช่ปัญหาเฉพาะของ OpenClaw เท่านั้น "สกิล" กำลังย้ายข้ามแพลตฟอร์มได้มากขึ้นเรื่อย ๆ เพราะเอเจนต์จำนวนมากเริ่มใช้ฟอร์แมต Agent Skills แบบเปิด ในฟอร์แมตนี้ สกิลคือโฟลเดอร์ที่มีไฟล์ SKILL.md เป็นแกนหลัก พร้อม metadata และคำสั่งแบบอิสระ และยังสามารถ bundle สคริปต์หรือทรัพยากรอื่น ๆ ได้ เอกสารของ OpenAI ก็อธิบายโครงสร้างพื้นฐานแบบเดียวกันนี้ไว้เช่นกัน (SKILL.md + สคริปต์และแอสเซ็ตแบบเลือกได้) นั่นหมายความว่า "สกิล" อันตรายไม่ได้เป็นแค่ปัญหาของ OpenClaw แต่เป็นกลไกการกระจายที่สามารถแพร่ไปยังระบบนิเวศของเอเจนต์ใดก็ตามที่รองรับมาตรฐานเดียวกัน

สิ่งที่พบ: สกิลที่ถูกดาวน์โหลดมากที่สุดกลับเป็นช่องทางส่งมัลแวร์

ระหว่างที่ผมดู ClawHub (จะไม่ใส่ลิงก์ด้วยเหตุผลที่ชัดเจน) ผมพบว่าสกิลที่ถูกดาวน์โหลดมากที่สุดในตอนนั้นคือสกิล "Twitter" มันดูธรรมดามาก มีคำอธิบาย การใช้งานที่ตั้งใจไว้ ภาพรวมต่าง ๆ เป็นอะไรที่คนจะติดตั้งโดยไม่คิดมาก

แต่สิ่งแรกที่สกิลนี้ทำคือแนะนำ "openclaw-core" ว่าเป็น "dependency ที่จำเป็น" และให้ขั้นตอนติดตั้งแยกตามแพลตฟอร์ม โดยมีลิงก์สะดวก ๆ ที่ดูเหมือนลิงก์เอกสารทั่วไป เช่น "here" และ "this link"

แต่ลิงก์เหล่านั้นไม่ปกติ

ทั้งสองลิงก์พาไปยังโครงสร้างพื้นฐานที่เป็นอันตราย เป็นรูปแบบการส่งต่อแบบหลายขั้นทั่วไป:

  1. ภาพรวมของสกิลบอกให้ติดตั้งข้อกำหนดเบื้องต้น
  2. ลิงก์พาไปยังหน้า staging ที่ออกแบบมาให้เอเจนต์รันคำสั่ง
  3. คำสั่งนั้นถอดรหัสและรัน payload ที่ถูกทำให้อ่านยาก
  4. payload ดึงสคริปต์ระยะที่สองมา
  5. สคริปต์ดาวน์โหลดและรันไบนารี รวมถึงลบ macOS quarantine attribute เพื่อหลบการสแกนของ Gatekeeper ซึ่งเป็นระบบป้องกันมัลแวร์ในตัวของ macOS

ผมจะไม่วางคำสั่งหรือ URL จริงไว้ที่นี่โดยตั้งใจ กลไกนี้น่าเสียดายที่เรียบง่าย และการทำซ้ำจะช่วยผู้โจมตีมากกว่าฝ่ายป้องกัน ประเด็นสำคัญคือ นี่ไม่ใช่แค่ "ลิงก์น่าสงสัย" แต่มันคือ เชนการรันแบบเต็มรูปแบบที่ปลอมตัวมาเป็นคำสั่งติดตั้ง

ยืนยันแล้ว: เป็นมัลแวร์ขโมยข้อมูล

ผมดาวน์โหลดไบนารีตัวสุดท้ายอย่างปลอดภัยและส่งเข้า VirusTotal

ผลลัพธ์ไม่กำกวม มันถูกระบุว่าเป็นมัลแวร์ขโมยข้อมูลบน macOS

นี่ไม่ใช่มัลแวร์ที่แค่ "ทำให้คอมพิวเตอร์ติดเชื้อ" แต่มันปล้นทุกอย่างที่มีค่าบนอุปกรณ์นั้น:

  • เซสชันและคุกกี้ของเบราว์เซอร์
  • ข้อมูลรับรองที่บันทึกไว้และข้อมูล autofill
  • โทเคนสำหรับนักพัฒนาและ API key
  • SSH key
  • ข้อมูลรับรองคลาวด์
  • ทุกอย่างที่ต่อยอดไปสู่การยึดบัญชีได้

ถ้าคุณเป็นคนประเภทที่ติดตั้ง agent skill ก็มีโอกาสสูงว่าเครื่องของคุณคือเป้าหมายที่คุ้มค่าต่อการขโมยพอดี

นี่ไม่ใช่เหตุการณ์ครั้งเดียว แต่เป็นแคมเปญที่เป็นระบบ

หลังจากผมแชร์เรื่องนี้ภายในองค์กร ก็มีรายงานในวงกว้างตามมาและทำให้เห็นขนาดของปัญหา มีรายงานว่าสกิล OpenClaw หลายร้อยรายการเกี่ยวข้องกับการกระจายมัลแวร์บน macOS ผ่านคำสั่งลักษณะ ClickFix

รายละเอียดนี้สำคัญ เพราะมันยืนยันได้ว่านี่คืออะไรจริง ๆ

มันไม่ใช่การอัปโหลดไฟล์อันตรายแบบครั้งเดียว

แต่มันคือกลยุทธ์โดยเจตนา: ใช้ "สกิล" เป็นช่องทางกระจาย และใช้ "ข้อกำหนดเบื้องต้น" เป็นห่อหุ้มแบบ social engineering

เมื่อสิ่งที่ "ช่วยเหลือ" กลายเป็นสิ่งที่ "เป็นปฏิปักษ์" ในโลกของเอเจนต์

เรารู้กันมาหลายปีแล้วว่า package manager และโอเพนซอร์สรีจิสทรีสามารถเป็นช่องทางโจมตี supply chain ได้

สกิลรีจิสทรีของเอเจนต์คือบทถัดไป เพียงแต่ "แพ็กเกจ" ในที่นี้ก็คือเอกสารนั่นเอง

และนั่นทำให้เส้นทางโจมตียิ่งลื่นไหลขึ้น:

  • คนทั่วไปไม่ได้คาดว่าไฟล์ Markdown จะเป็นอันตราย
  • คนทั่วไปถูกฝึกให้ทำตามขั้นตอนติดตั้งอย่างรวดเร็ว
  • คนทั่วไปเชื่อว่า "ถูกดาวน์โหลดมากที่สุด" เป็นตัวแทนของความน่าเชื่อถือ
  • ในระบบนิเวศเอเจนต์ เส้นแบ่งระหว่างการอ่านคำสั่งกับการลงมือรันคำสั่งเริ่มพังทลาย

แม้เอเจนต์จะยังรันคำสั่ง shell โดยตรงไม่ได้ มันก็ยังทำเรื่องอันตรายได้อยู่ดี มันทำให้พฤติกรรมอันตรายดูเป็นเรื่องปกติได้

มันสามารถสรุปข้อกำหนดเบื้องต้นที่เป็นอันตรายอย่างมั่นใจให้ดูเหมือน "ขั้นตอนติดตั้งมาตรฐาน" มันสามารถชักจูงให้วาง one-liner ลงไปได้ มันสามารถลดความลังเลได้

และถ้าเอเจนต์ของคุณรันคำสั่งโลคัลได้ สกิลอันตรายก็ไม่ใช่แค่ "คอนเทนต์ไม่ดี" แต่มันคือ การรันโค้ดระยะไกลที่ห่อมาในเอกสารที่ดูเป็นมิตร

สิ่งที่ควรทำตอนนี้

หากคุณใช้ OpenClaw หรือสกิลรีจิสทรีอยู่

อย่ารันสิ่งเหล่านี้บนอุปกรณ์ของบริษัท ไม่มีวิธีที่ปลอดภัย หากคุณเคยทำไปแล้ว หรือเคยรันคำสั่ง "ติดตั้ง" จากสกิลใด ๆ ให้ติดต่อทีมความปลอดภัยทันทีและจัดการเหมือนเป็นการรั่วไหลที่อาจเกิดขึ้นแล้ว

  • หยุดงานที่เกี่ยวข้องกับข้อมูลอ่อนไหวบนอุปกรณ์นั้น
  • หมุนเวียนเซสชันและ secret ก่อน: เซสชันเบราว์เซอร์ โทเคนสำหรับนักพัฒนา SSH key เซสชันคอนโซลคลาวด์
  • ตรวจสอบประวัติการล็อกอินล่าสุด: อีเมล ซอร์สคอนโทรล คลาวด์ CI/CD และแอดมินคอนโซล

หากยังอยากทดลอง ให้ใช้เครื่องแยกที่ไม่มีสิทธิ์เข้าถึงองค์กรและไม่มีข้อมูลรับรองที่เก็บไว้

หากคุณเป็นผู้ดูแลสกิลรีจิสทรี

คุณกำลังดูแล App Store อยู่ ให้สมมติว่าจะถูกนำไปใช้ในทางที่ผิด

  • สแกนหาคำสั่งติดตั้งแบบ one-liner, payload ที่เข้ารหัส, การลบ quarantine, และ archive ที่ป้องกันด้วยรหัสผ่าน
  • เพิ่มระบบยืนยันแหล่งที่มาและชื่อเสียงของผู้เผยแพร่
  • เพิ่มคำเตือนและแรงเสียดทานกับลิงก์ภายนอกและขั้นตอนติดตั้ง
  • ตรวจสอบสกิลอันดับสูง และลบสกิลอันตรายให้รวดเร็ว

ในบริบทนี้ Markdown คือเจตนาที่พร้อมรันได้

หากคุณสร้างเฟรมเวิร์กเอเจนต์

ให้สมมติว่าสกิลจะถูกทำให้เป็นอาวุธได้

  • บล็อกการรัน shell แบบ default-deny
  • sandbox การเข้าถึงเบราว์เซอร์ keychain และ credential store
  • ทำให้สิทธิ์มีความเฉพาะเจาะจง มีอายุจำกัด และเพิกถอนได้
  • เพิ่มแรงเสียดทานให้กับการรันโค้ดหรือคำสั่งจากระยะไกล
  • เก็บล็อกแหล่งที่มาและพฤติกรรมแบบ end-to-end

ออกแบบเพื่ออนาคต: ชั้นความเชื่อถือที่เอเจนต์ต้องมี

นี่คือหลักฐานที่ชัดที่สุดของสิ่งที่ผมโต้แย้งไว้ในบทความก่อนหน้า เหตุผลที่ OpenClaw ทรงพลัง ก็เพราะมันทำลายระยะห่างระหว่าง "เจตนา" กับ "การลงมือทำ" นั่นคือเวทมนตร์ แต่ในเวลาเดียวกัน มันก็มาพร้อมความเสี่ยงอย่างมหาศาล เมื่อความสามารถถูกแจกจ่ายในรูปสกิล และติดตั้งผ่านเอกสาร รีจิสทรีก็จะกลายเป็น supply chain และเส้นทางติดตั้งที่ง่ายที่สุดก็จะกลายเป็นเส้นทางโปรดของผู้โจมตี

คำตอบไม่ใช่การหยุดสร้างเอเจนต์ คำตอบคือการสร้างชั้นความเชื่อถือที่ขาดหายไปขึ้นมารอบ ๆ เอเจนต์ สกิลต้องมีหลักฐานยืนยันแหล่งที่มา การรันต้องมีตัวกลางกำกับ สิทธิ์ต้องเฉพาะเจาะจง เพิกถอนได้ และถูกบังคับใช้อย่างต่อเนื่อง ไม่ใช่อนุญาตครั้งเดียวแล้วลืม หากเอเจนต์จะลงมือแทนเรา ข้อมูลรับรองและการกระทำที่ละเอียดอ่อนก็ไม่ควรถูก "หยิบไปใช้" ได้โดยโค้ดใดก็ตามที่บังเอิญถูกรัน สิ่งเหล่านี้ต้องถูกไกล่เกลี่ย ถูกกำกับ และถูกตรวจสอบแบบเรียลไทม์

และนี่คือเหตุผลที่เราต้องมีเลเยอร์ถัดไป ในโลกที่ "สกิล" กลายเป็น supply chain อนาคตที่ปลอดภัยเพียงแบบเดียวคืออนาคตที่เอเจนต์ทุกตัวมีอัตลักษณ์ของตัวเอง ถือครองเฉพาะสิทธิ์ขั้นต่ำที่จำเป็นในตอนนั้น การเข้าถึงมีอายุจำกัด เพิกถอนได้ และติดตามตรวจสอบได้

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
crawler 2026-02-12

> ระหว่างที่ผมไล่ดู ClawHub (จะไม่ใส่ลิงก์ด้วยเหตุผลที่ชัดเจน) ก็พบว่าสกิลที่มียอดดาวน์โหลดมากที่สุดในตอนนั้นคือสกิล "Twitter"

สรุปว่าแพ็กเกจที่ถูกดาวน์โหลดมากที่สุดคือไวรัสสินะ...

การโจมตีซัพพลายเชนมีอยู่ทุกที่ก็จริง แต่การตรวจไม่พบว่าในสกิลที่ถูกดาวน์โหลดมากที่สุดมีไวรัสปนอยู่ ถือว่าเป็นสถานการณ์ที่ร้ายแรงมาก

สมกับเป็นระบบนิเวศของโปรแกรมที่นักพัฒนาปล่อยเผยแพร่ทั้งที่ไม่แม้แต่จะอ่านโค้ดที่ AI สร้างขึ้นมาเลย
 
woung717 2026-02-12

ดูเหมือนเป็นข้ออ้างที่เกินจริงไปหน่อยนะครับ แม้ว่าจะเป็นความจริงที่ตอนนี้ยังไม่มีกรอบความปลอดภัยที่เหมาะสมสำหรับสกิล แต่ถ้าดาวน์โหลดแหล่งที่มายังไม่ผ่านการตรวจสอบแล้วนำมารัน การโจมตีก็เกิดขึ้นได้เหมือนกันไม่ใช่หรือกับตัวจัดการแพ็กเกจสำหรับภาษา/แอป? สกิลนั้นขึ้นอยู่กับประสิทธิภาพของโมเดลและการจะถูกรันหรือไม่ก็ยังไม่แน่นอน แต่โค้ดนั้นถ้ารันก็คือถูกรันอย่างแน่นอนอยู่แล้วไม่ใช่หรือครับ?