Сигналы безопасности ClawHub: Когда VirusTotal, статический анализ и SkillSpector расходятся во мнениях

Аннотация

Навыки агентов расширяют возможности ИИ-агентов за счет многократно используемых инструкций, инструментов, скриптов, ссылок и рабочих процессов, формируя границу безопасности, отличную как от безопасности модели, так и от традиционного обнаружения вредоносного ПО в пакетах. ClawHub Security Signals представляет собой очищенный набор данных из 67 453 последних публичных версий навыков OpenClaw. Каждая строка объединяет отредактированное содержимое SKILL.md и очищенные вложенные файлы (при их наличии) с окончательным вердиктом реестра ClawScan и данными от трех семейств сканеров: VirusTotal, статического эвристического анализа и NVIDIA SkillSpector. Вместо оценки распространенности вредоносных навыков мы изучаем расхождения между сканерами. Три сканера редко помечают одни и те же навыки: любая пара пересекается не более чем по 10,4% своих совокупных положительных результатов, лишь 0,69% навыков помечены всеми тремя сканерами, а 81,9% помеченных навыков выявляются только одним сканером. Расхождение обусловлено поверхностью атаки. SkillSpector, который выдает семантические предупреждения об агентных рисках, а не сигналы репутации вредоносного ПО, показывает положительный результат для 19 209 из 25 504 подозрительных строк (75,3%), но только для 14 из 206 вредоносных строк (6,8%). Область вредоносных вердиктов демонстрирует обратный профиль: 150 из 206 вредоносных строк (72,8%) являются положительными по VirusTotal, что согласуется с данными о вредоносном коде во вложенных файлах. Эти результаты показывают, что безопасность навыков агентов требует многоуровневого управления, а не решений о разрешении/блокировке на основе одного сканера. Корпус выпускается в виде очищенного набора данных серебряного стандарта: метки представляют собой автоматические вердикты реестра, а не эталонные данные с ручной разметкой, а выпуск является ранним версионированным снимком, предназначенным для поддержки сообщества в процессе разработки подмножества с ручной разметкой. Поощряются дальнейшие исследования, включая модели, адаптированные для сортировки безопасности навыков.

English

Agent skills extend AI agents with reusable instructions, tools, scripts, references, and workflows, establishing a security boundary distinct from both model safety and traditional package-malware detection. ClawHub Security Signals is a sanitized dataset of 67,453 latest public OpenClaw skill versions. Each row pairs redacted SKILL.md content and sanitized bundled files where present with a final ClawScan registry verdict and evidence from three scanner families: VirusTotal, static heuristic analysis, and NVIDIA SkillSpector. Rather than estimating malicious-skill prevalence, we study scanner disagreement. The three scanners rarely flag the same skills: any pair overlaps on at most 10.4% of their combined positives, only 0.69% of skills are flagged by all three, and 81.9% of flagged skills are identified by a single scanner. The disagreement is structured by attack surface. SkillSpector, which raises semantic agentic-risk advisories rather than malware-reputation signals, is positive for 19,209 of 25,504 suspicious rows (75.3%) but only 14 of 206 malicious rows (6.8%). The malicious-verdict region shows the inverse profile: 150 of 206 malicious rows (72.8%) are VirusTotal-positive, consistent with bundled-code malware evidence. These results show that agent-skill security requires layered governance, not single-scanner allow/block decisions. The corpus is released as a sanitized silver-standard dataset: labels are the registry's automated verdicts, not human-annotated ground truth, and the release represents an early, versioned snapshot intended to support the community while a human-annotated subset is developed. Further research is encouraged, including models tailored for skill-security triage.