ClawHub-Sicherheitssignale: Wenn VirusTotal, statische Analyse und SkillSpector nicht übereinstimmen

Zusammenfassung

Agent-Fähigkeiten erweitern KI-Agenten um wiederverwendbare Anweisungen, Werkzeuge, Skripte, Referenzen und Arbeitsabläufe und schaffen eine Sicherheitsgrenze, die sich sowohl von der Modellsicherheit als auch von der traditionellen Paket-Malware-Erkennung unterscheidet. ClawHub Security Signals ist ein bereinigter Datensatz von 67.453 aktuellsten öffentlichen OpenClaw-Fähigkeitsversionen. Jede Zeile kombiniert redigierte SKILL.md-Inhalte und bereinigte gebündelte Dateien, sofern vorhanden, mit einem endgültigen ClawScan-Registry-Befund und Beweisen von drei Scanner-Familien: VirusTotal, statische heuristische Analyse und NVIDIA SkillSpector. Anstatt die Prävalenz bösartiger Fähigkeiten zu schätzen, untersuchen wir die Uneinigkeit der Scanner. Die drei Scanner kennzeichnen selten dieselben Fähigkeiten: Jedes Paar überschneidet sich bei höchstens 10,4 % seiner kombinierten positiven Ergebnisse, nur 0,69 % der Fähigkeiten werden von allen drei erkannt, und 81,9 % der gekennzeichneten Fähigkeiten werden von einem einzigen Scanner identifiziert. Die Uneinigkeit ist durch die Angriffsfläche strukturiert. SkillSpector, das semantische agentische Risikohinweise statt Malware-Reputationssignalen ausgibt, ist bei 19.209 von 25.504 verdächtigen Zeilen (75,3 %) positiv, aber nur bei 14 von 206 bösartigen Zeilen (6,8 %). Der Bereich der bösartigen Urteile zeigt das umgekehrte Profil: 150 von 206 bösartigen Zeilen (72,8 %) sind VirusTotal-positiv, konsistent mit Beweisen für gebündelte Code-Malware. Diese Ergebnisse zeigen, dass die Sicherheit von Agent-Fähigkeiten eine mehrschichtige Governance erfordert, nicht Entscheidungen einzelner Scanner über Zulassen/Blockieren. Das Korpus wird als bereinigter Silberstandard-Datensatz veröffentlicht: Die Labels sind die automatisierten Urteile der Registry, nicht die manuell annotierte Grundwahrheit, und die Veröffentlichung stellt eine frühe, versionierte Momentaufnahme dar, die die Gemeinschaft unterstützen soll, während eine manuell annotierte Teilmenge entwickelt wird. Weitere Forschung wird empfohlen, einschließlich Modelle, die für das Triage der Fähigkeitssicherheit maßgeschneidert sind.

English

Agent skills extend AI agents with reusable instructions, tools, scripts, references, and workflows, establishing a security boundary distinct from both model safety and traditional package-malware detection. ClawHub Security Signals is a sanitized dataset of 67,453 latest public OpenClaw skill versions. Each row pairs redacted SKILL.md content and sanitized bundled files where present with a final ClawScan registry verdict and evidence from three scanner families: VirusTotal, static heuristic analysis, and NVIDIA SkillSpector. Rather than estimating malicious-skill prevalence, we study scanner disagreement. The three scanners rarely flag the same skills: any pair overlaps on at most 10.4% of their combined positives, only 0.69% of skills are flagged by all three, and 81.9% of flagged skills are identified by a single scanner. The disagreement is structured by attack surface. SkillSpector, which raises semantic agentic-risk advisories rather than malware-reputation signals, is positive for 19,209 of 25,504 suspicious rows (75.3%) but only 14 of 206 malicious rows (6.8%). The malicious-verdict region shows the inverse profile: 150 of 206 malicious rows (72.8%) are VirusTotal-positive, consistent with bundled-code malware evidence. These results show that agent-skill security requires layered governance, not single-scanner allow/block decisions. The corpus is released as a sanitized silver-standard dataset: labels are the registry's automated verdicts, not human-annotated ground truth, and the release represents an early, versioned snapshot intended to support the community while a human-annotated subset is developed. Further research is encouraged, including models tailored for skill-security triage.