ClawHub Beveiligingssignalen: Wanneer VirusTotal, Statische Analyse en SkillSpector van elkaar afwijken

Samenvatting

Agentvaardigheden breiden AI-agenten uit met herbruikbare instructies, tools, scripts, referenties en workflows, en creëren een beveiligingsgrens die verschilt van zowel modelveiligheid als traditionele pakket-malwaredetectie. ClawHub Security Signals is een gesaneerde dataset van 67.453 nieuwste openbare OpenClaw-vaardigheidsversies. Elke rij koppelt geredigeerde SKILL.md-inhoud en gesaneerde gebundelde bestanden (indien aanwezig) aan een definitief ClawScan-registeroordeel en bewijs van drie scannersfamilies: VirusTotal, statische heuristische analyse en NVIDIA SkillSpector. In plaats van de prevalentie van kwaadaardige vaardigheden te schatten, bestuderen we de scanner-onenigheid. De drie scanners markeren zelden dezelfde vaardigheden: elk paar overlapt op maximaal 10,4% van hun gecombineerde positieven, slechts 0,69% van de vaardigheden wordt door alle drie gemarkeerd, en 81,9% van de gemarkeerde vaardigheden wordt door slechts één scanner geïdentificeerd. De onenigheid is gestructureerd per aanvalsoppervlak. SkillSpector, dat semantische agentische risicoadviezen geeft in plaats van malware-reputatiesignalen, is positief voor 19.209 van de 25.504 verdachte rijen (75,3%) maar slechts 14 van de 206 kwaadaardige rijen (6,8%). Het gebied met kwaadaardige oordelen vertoont het omgekeerde profiel: 150 van de 206 kwaadaardige rijen (72,8%) zijn VirusTotal-positief, consistent met bewijs van gebundelde codemalware. Deze resultaten tonen aan dat beveiliging van agentvaardigheden gelaagd bestuur vereist, niet enkele toestaan/blokkeren-beslissingen van één scanner. Het corpus wordt vrijgegeven als een gesaneerde zilveren-standaarddataset: labels zijn de geautomatiseerde oordelen van het register, niet door mensen geannoteerde grondwaarheid, en de vrijgave vertegenwoordigt een vroege, versiebeheerde momentopname bedoeld om de gemeenschap te ondersteunen terwijl een door mensen geannoteerde subset wordt ontwikkeld. Verder onderzoek wordt aangemoedigd, inclusief modellen die zijn afgestemd op triage van vaardigheidsbeveiliging.

English

Agent skills extend AI agents with reusable instructions, tools, scripts, references, and workflows, establishing a security boundary distinct from both model safety and traditional package-malware detection. ClawHub Security Signals is a sanitized dataset of 67,453 latest public OpenClaw skill versions. Each row pairs redacted SKILL.md content and sanitized bundled files where present with a final ClawScan registry verdict and evidence from three scanner families: VirusTotal, static heuristic analysis, and NVIDIA SkillSpector. Rather than estimating malicious-skill prevalence, we study scanner disagreement. The three scanners rarely flag the same skills: any pair overlaps on at most 10.4% of their combined positives, only 0.69% of skills are flagged by all three, and 81.9% of flagged skills are identified by a single scanner. The disagreement is structured by attack surface. SkillSpector, which raises semantic agentic-risk advisories rather than malware-reputation signals, is positive for 19,209 of 25,504 suspicious rows (75.3%) but only 14 of 206 malicious rows (6.8%). The malicious-verdict region shows the inverse profile: 150 of 206 malicious rows (72.8%) are VirusTotal-positive, consistent with bundled-code malware evidence. These results show that agent-skill security requires layered governance, not single-scanner allow/block decisions. The corpus is released as a sanitized silver-standard dataset: labels are the registry's automated verdicts, not human-annotated ground truth, and the release represents an early, versioned snapshot intended to support the community while a human-annotated subset is developed. Further research is encouraged, including models tailored for skill-security triage.