מדוע שותפות זו חשובה דווקא עכשיו

ב-7 בפברואר 2026 הודיעה OpenClaw על שותפות עם VirusTotal לצורך סריקת כל סקיל שפורסם ב-ClawHub, זירת הסקילים שלה. בגרסה המקוצרת, התהליך פשוט: הסקיל נארז, עובר תהליך האש (SHA-256) ונבדק מול VirusTotal; אם אין תיעוד קודם, החבילה מועלת לסריקה וניתוח, כולל תכונת Code Insight של VirusTotal. מיומנויות שנמצאו תמימות יכולות להיות מאושרות באופן אוטומטי; מיומנויות חשודות יכולות להיות מסומנות באזהרות; ומיומנויות זדוניות יכולות להיחסם. הכוונה היא להוסיף שכבת הגנה אוטומטית כנגד שרשרת אספקה של "מיומנויות סוכנים" הצומחת במהירות, שכבר נוצלה לרעה על ידי תוקפים.

הגרסה המפורטת היא זו שמעניינת את אנשי האבטחה: ClawHub אינו רק אתר לשיתוף קוד. זהו ערוץ הפצה לאוטומציה הניתנת להפעלה, שנועד לפעול תוך שימוש בהרשאות, זהויות, אסימונים, גישה למערכת הקבצים והיקף הרשת של המשתמש. בסביבה כזו, "תוסף רע" אינו אי-נוחות — הוא כשל בגבולות הביצוע. השותפות היא ניסיון של OpenClaw להפוך את "התקנת המיומנויות" למשהו הקרוב יותר לצינור תוצרי תוכנה מפוקח, עם סריקה חוזרת, תוצאות נראות לעין וניטור רציף.

מאמר זה מפרט את תפקודו של שילוב OpenClaw, מדוע הוא נבון מבחינה אסטרטגית, היכן הוא עלול להיכשל, וכיצד תוכלו ליישם בקרות דומות בסביבתכם — בין אם אתם מפעילים את OpenClaw באופן פנימי, מתחזקים שרשרת כלים של סוכנים, או מגנים על נקודות קצה המכילות כעת סביבות ריצה של סוכנים והרחבותיהן.

מילות המפתח המעידות על כוונה רצינית, שממשיכות להופיע במחקרים ובכותרות

הדרך הטובה ביותר להסיק "מה אנשים באמת מחפשים" ללא גישה למאגרי נתונים קנייניים על לחיצות, היא לקרוא את הפרסומים של חוקרי אבטחה, את הציטוטים של צוותי התגובה לאירועים, ואת מה שהעיתונות חוזרת עליו ב-20 השורות הראשונות של הסיקור. בסיקור ובמחקרים שנערכו במהלך פברואר 2026, המונחים החוזרים ונשנים המעידים על כוונות הגנתיות הם:

• virustotal (הקשור באופן מפורש לסריקות ולבדיקות מוניטין)
• VirusTotal Code Insight (משמש כגורם מבדל ביחס לסריקה המבוססת על חתימות בלבד)
• כישורים זדוניים / כישורים הרסניים (הצגת התנהגות כפגיעה בשוק)
• תוכנת זדוניות ClawHub / תוכנת זדוניות OpenClaw (שפת ערוץ ההפצה)
• אבטחת סוכני בינה מלאכותית / גבול האבטחה הסוכנית (התווית "הקטגוריה החדשה")
• הזרקה מיידית / הזרקה מיידית עקיפה (חטיפת סוכן)
• התקפה על שרשרת האספקה (הקטגוריה הנכונה עבור זירה המפיצה תוצרי קוד)
• סודות חשופים / אסימונים / מפתחות API (מה נגנב ראשון)

הדו"ח "ToxicSkills" של Snyk מהווה נקודת התייחסות מועילה, שכן הוא מציג את המערכת האקולוגית כמאגר נתונים הניתן לבדיקה ומכמת סוגים שונים של בעיות (הפצת תוכנות זדוניות, הזרקת פקודות, חשיפת סודות, דפוסים דינמיים של אחזור וביצוע מרחוק). גם העדכון והערות הבלוג של VirusTotal מחודש פברואר 2026 מתייחסים במפורש לחבילות המיומנויות של OpenClaw ול"העברת איומים דרך שרשרת האספקה".

מה ש-OpenClaw באמת בנה: שער לאובייקטים, לא אווירה

כאשר ספקים מכריזים ש"אנחנו סורקים דברים", לרוב הם מתכוונים ל"אנחנו מבצעים סריקה סטטית על מאגרים" או "לפעמים אנחנו בודקים אם יש חתימות זדוניות ידועות". העיצוב שהוכרז של OpenClaw קרוב יותר לשער ארטפקטים אמיתי, מכיוון שהוא מסתמך על אריזה דטרמיניסטית ועל זהות הניתנת לאיתור לפי תוכן.

ברמה גבוהה:

1. כל מיומנות שעולה לאתר נארזת בחבילה המייצגת את הקובץ המדויק שהמשתמשים יורידו.
2. המערכת מחשבת חתימת SHA-256 עבור החבילה.
3. ה-hash נבדק מול מאגר הנתונים הקיים של VirusTotal.
4. אם לא נמצא התאמה, החבילה מועלת ל-VirusTotal לצורך סריקה וניתוח מעמיק יותר, כולל Code Insight.
5. דוח VirusTotal מוצג בדף המיומנות (ובכל הגרסאות), ומאפשר למשתמשים ולמנהלי המערכת לראות מה השתנה ומדוע הוקצה פסק הדין.
6. המערכת מבצעת סריקות חוזרות ונשנות של כישורים פעילים, כך שמידע חדש עשוי לשנות את ההחלטה בדיעבד.

זה חשוב משום ש"מצב המאגר" ו"המוצר שנשלח" אינם זהים. אם אתם מעוניינים ביכולת שחזור, בביקורת ובחזרה לגרסה קודמת, עליכם לקבע את ההחלטות במוצר הבלתי-משתנה.

למה VirusTotal

VirusTotal אינה "תוכנת אנטי-וירוס". זוהי פלטפורמת איסוף מודיעין איומים הכוללת מוניטין קבצים, אותות ממנועים מרובים, מאפייני התנהגות, יכולות פיבוט ו-API המאפשרים לבנות זרימות עבודה אוטומטיות. עבור שוק, הערך המהותי הוא שתוקפים עושים שימוש חוזר בתשתיות ובמשפחות קוד. גם כאשר החבילה משתנה, האינדיקטורים הקשורים אליה לרוב אינם משתנים: דומיינים, כתובות IP, תוכנות הפצה, מחרוזות, קשרי דגימות דומות, תוכנות דחיסה או כלי העבודה של אותו גורם.

בפברואר 2026, VirusTotal הגדירה במפורש את ה-skills של OpenClaw כערוץ הפצה חדש בשרשרת האספקה, וציינה כי התמיכה ב-Code Insight הורחבה לחבילות ה-skills של OpenClaw, "תוך התעלמות מהמטרה המוצהרת של החבילה". לניסוח זה יש חשיבות: הצעד הראשון של התוקף הוא לטעון לחפות באמצעות התיעוד והשמות, בעוד שהתנהגות האובייקט מעידה אחרת.

מה מוסיף Code Insight מעבר לחתימות

VirusTotal השיקה את Code Insight בשנת 2023 כתכונה המונעת על ידי בינה מלאכותית, המפיקה סיכומים בשפה טבעית של קוד תוך התייחסות לכוונתו של אנליסט האבטחה: מטרתה להסביר את פעולתו של סקריפט או קטע קוד, דבר שיכול לסייע בזיהוי לוגיקה חשודה שאינה מתאימה לחתימות הקלאסיות. בהמשך פרסמה VirusTotal דוגמאות שבהן Code Insight חשפה התנהגויות שהצליחו לחמוק ממנועי הזיהוי המסורתיים.

עבור מתכנתים, Code Insight הוא כלי חשוב משתי סיבות:

• זה מקצר את הזמן הנדרש להבנה. ניתן לבצע מיון מהיר יותר כאשר הסיכום מזהה כהלכה "הורדה והפעלה", "איסוף אישורים", "התמדה" או "התנהגות של הוצאת מידע" במסלול הקוד.
• כך תוצאות הסריקה הופכות מובנות גם למי שאינו מומחה בתחום. הפיקוח על הפלטפורמה מתבצע לעתים קרובות תחת לחץ זמן; סיכומים נרטיביים מסייעים בתיאום ההחלטות.

מדוע כישורי סוכנים כרוכים בסיכון רב יותר מאשר תוספים קלאסיים

התקפות קלאסיות על שרשרת האספקה כבר כואבות: טיפוסקוואטינג, בלבול בין תלות, פגיעה באחראי התחזוקה, עדכונים זדוניים, פגיעה בצינור הבנייה ודלתות אחוריות במעלה הזרם. כישורי הסוכנים מוסיפים שני גורמים מאיצים חדשים:

1. ריכוז הרשאות. לעתים קרובות, מיומנויות פועלות בתוך סביבת ריצה שכבר נהנית מהרשאות נרחבות ומאמצעי זיהוי בעלי תוקף ממושך. דבר זה מצמצם את הפער בין ביצוע הקוד לבין ההשפעה העסקית.
2. אוטונומיה מונעת הוראות. אפילו קוד תמים עלול להפוך למסוכן כאשר גורם כלשהו נאלץ לעשות שימוש לרעה בכלים. כאן נכנסים לתמונה הזרקת פקודות וחטיפת כלים: ניתן לגרום למודל לבצע פעולות שאסור לו לבצע, מכיוון שהוא מתקשה להבחין בין הוראות אמינות לנתונים לא אמינים.

פרויקט GenAI של OWASP ממשיך להדגיש את הזרקת הפקודות (prompt injection) כקטגוריית סיכון מרכזית, וקטגוריית "שרשרת האספקה" כוללת במפורש רכיבים של צד שלישי במערכות LLM. סריקה באמצעות VirusTotal מפחיתה את ההסתברות להתקנת רכיב ידוע כמזיק; אך היא אינה פותרת, כשלעצמה, את בעיית החטיפה ברמת ההוראות.

סיווג קצר של התנהגויות המבטאות כישורים זדוניים

רוב הטכניקות הזדוניות אינן מתוחכמות בתחילת הדרך. הן מותאמות להיקף נרחב ולהכחשה סבירה. בקמפיינים שנצפו ודווחו על ידי ספקים ותקשורת, הדפוסים הנפוצים כוללים:

• "README כמתקין." בתיעוד המיומנות מתבקשים המשתמשים להריץ פקודות שורת פקודה שמורידות סקריפטים מרחוק (במתכונת curl | bash), שלעיתים מוסווים היטב.
• "תלות כקוד זדוני". הטכניקה הזו מתארת תלות הנמצאת בשליטת התוקף (טיפוסקוואטינג או חבילות שנוצרו לאחרונה), אשר מבצעת קוד במהלך ההתקנה.
• "איסוף הגדרות". הכישור מחפש בנתיבים מקומיים אחר פרופילי דפדפן, נתוני ארנקים, אסימוני API, מפתחות SSH או קבצי .env.
• "התמדת שרשרת הכלים". יכולת זו משנה את הזיכרון או את התצורה של הסוכן, כך שהוראות זדוניות יישמרו בין הפעלות.
• "העברת מידע באמצעות ממשקי API לגיטימיים." טכניקה זו משתמשת ב-HTTP(S) יוצא כדי לשלוח נתונים לשרתים שבשליטת התוקף, לרוב במסווה של נתוני טלמטריה.

חברת Trend Micro תיעדה פעילות זדונית של OpenClaw שהפיצה גרסה של תוכנת גניבת מידע מסוג Atomic עבור macOS, והדגימה עד כמה מהר הפך האקוסיסטם לערוץ להפצת תוכנות גניבת מידע נפוצות.

ה-CVE שאסור להתעלם מהם בסביבת OpenClaw

CVE-2026-25253: דליפת אסימון באמצעות חיבור WebSocket אוטומטי

הפגיעות CVE-2026-25253 נרשמה על ידי ה-NVD כפגיעות בתוכנת OpenClaw (הידועה גם בשם clawdbot/Moltbot) בגרסאות שקדמו ל-2026.1.29: היא משיגה ערך gatewayUrl ממחרוזת שאילתה ויוצרת באופן אוטומטי חיבור WebSocket ללא בקשת אישור, תוך שליחת ערך אסימון. NVD מציין וקטור CVSS v3.1 בעל השפעה גבוהה (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H).

לכך יש חשיבות מכיוון שאסימון הוא לרוב הדרך הקצרה ביותר להשתלטות על חשבון או לחטיפת הפעלה במערכות אקולוגיות של סוכנים. אם קישור זדוני מצליח לאלץ סביבת ריצה להתחבר לרשת החיצונית ולחשוף אסימונים, התוקף יכול להמשיך לפעולות נוספות מבלי שיידרש לפרוץ תחילה למיומנות כלשהי.

CVE-2024-3094: דלת האחורית ב-xz כנקודת ייחוס עכשווית בשרשרת האספקה

CVE-2024-3094 (xz / liblzma) אינו באג ב-OpenClaw, אך הוא הדגמה עכשווית מיטבית לאופן שבו פגיעה בקוד המקור יכולה להתפשט בשקט דרך תהליכי הבנייה. NVD מתאר קוד זדוני בקבצי tar של הקוד המקורי החל מגרסה 5.6.0, המשתמש בשלבי בנייה מוסווים כדי לחלץ קובץ אובייקט שנבנה מראש ולשנות פונקציות ב-liblzma — ובכך ליצור ספרייה ששונתה, המסוגלת ליירט ולשנות אינטראקציות נתונים.

הסיבה לכך שזה שייך לכאן היא רעיונית: אם אתם מפעילים מערכת אקולוגית המפיצה ארטפקטים הניתנים להפעלה, אתם נחשבים ל"אפסטרים". אותו היגיון חל גם כאן: אתם זקוקים לזיהוי ארטפקטים, לאימות, לסריקה, לניטור וליכולת לבטל.

CVE-2021-44228 (Log4Shell): מדוע אנשי אבטחה ממשיכים להשתמש בו כנקודת ייחוס

Log4Shell נותרה דוגמה מובהקת לכך, שכן היא הוכיחה עד כמה מהר פגם מסוג RCE ברכיב הנמצא בשימוש נרחב הופך למאפיין תעשייתי. במקרה של מערכות סוכנים, האנלוגיה אינה שה"מיומנויות" הן ספריות רישום. אלא שסביבות ביצוע מבוזרות מאוד, בשילוב עם הרשאות ואוטומציה, מובילות לניצול מהיר בקנה מידה נרחב.

בנה שער מיומנויות משלך ב-CI

אין צורך להפעיל פלטפורמת מסחר כדי ליהנות מדפוס "שער הארטפקטים". אם הארגון שלכם מפיץ מיומנויות פנימיות, תוספים או כלי סוכנים, תוכלו ליישם זרימת עבודה דומה ב-CI/CD ובמאגר הפנימי שלכם.

שני אילוצים:

• ה-API הציבורי של VirusTotal מוגבל בקצב השימוש ואינו מיועד לשימוש מסחרי בסביבת ייצור. עבור תהליכי עבודה ארגוניים, יש לתכנן תוכנית מנוי מתאימה ולהגדיר מכסות.
• הסריקה היא רק שלב אחד. עדיין נדרשים עקרון ההרשאות המינימליות, בידוד ובקרה.

שלב 1: אריזה דטרמיניסטית + SHA-256

# Python: אריזה דטרמיניסטית ב-zip + חשיש SHA-256 עבור ארטפקט מיומנות import hashlib, os, zipfile def zip_deterministic(src_dir, out_path): files = []
    for root, _, filenames in os.walk(src_dir): for fn in filenames: full = os.path.join(root, fn) rel = os.path.relpath(full, src_dir) files.append((rel, full)) files.sort(key=lambda x: x[0])

    with zipfile.ZipFile(out_path, "w", compression=zipfile.ZIP_DEFLATED) as z: for rel, full in files: info = zipfile.ZipInfo(rel) info.date_time = (1980, 1, 1, 0, 0, 0) חותמת זמן קבועה #
            with open(full, "rb") as f: z.writestr(info, f.read()) def sha256(path): h = hashlib.sha256() with open(path, "rb") as f: for chunk in iter(lambda: f.read(1024*1024), b""):
            h.update(chunk) return h.hexdigest() zip_deterministic("skills/twitter-summarize", "dist/twitter-summarize.skill.zip") print("sha256:", sha256("dist/twitter-summarize.skill.zip"))

שלב 2: חפשו ב-VirusTotal לפי ה-hash, ואז העלו את הקובץ אם הוא לא נמצא

# Bash: דוגמאות ל-API של VirusTotal v3 (נדרשת גישה מתאימה ל-API) HASH="YOUR_SHA256" curl -sS -H "x-apikey: $VT_API_KEY" \\ "" | jq

# העלה אם לא נמצא curl -sS -H "x-apikey: $VT_API_KEY" \\ -F "file=@dist/twitter-summarize.skill.zip" \\ "" | jq

שלב 3: תרגום נתוני הסריקה להחלטות מדיניות

מדיניות פשוטה ושמרנית, המשקפת את האופן שבו פועלים לרוב השווקים:

• חסום אם מספר הזיהויים הזדוניים עולה על 0, או אם הדוח מצביע על גניבת פרטי הזדהות מפורשת, התנהגות של תוכנת הורדה או שינויים הקשורים להתמדה.
• יש להציג התראה ולדרוש אישור אם מספר הזיהויים החשודים עולה על 0, או אם Code Insight מצביע על התנהגות מסוכנת והבעלים לא אומת.
• לאפשר אם malicious == 0 ו-suspicious == 0, והיכולות המוצהרות של המיומנות תואמות את עקרון ההרשאות המינימליות.

העניין כאן אינו מושלמות. העניין הוא יכולת חזרה על התהליך ויכולת ביקורת. ברגע שיש לכם מדיניות מפורשת, תוכלו לשפר אותה בבטחה לאורך זמן.

טבלת מדיניות שתוכלו להתאים לצרכים שלכם

מה שסריקת VirusTotal לא תזהה

שער סריקה הוא הכרחי, אך אינו מספיק. יש להניח כי נותרו שלושה סוגים עיקריים של תקלות:

1. הזרקת פקודות ושימוש לא נאות בכלים. מיומנות תמימה עלולה להוביל לביצוע פעולות מסוכנות אם הגבולות שהוגדרו על ידי המשתמש חלשים. ארגון OWASP ממשיך להתייחס להזרקת פקודות כאל סיכון מרכזי.
2. תוכנה זדונית חדשה עם חתימה חלשה. התוקפים יכולים להפיץ מטענים קטנים ומדורגים, אשר מורידים את מרבית הקוד הלוגי לאחר ההתקנה. אם הקובץ הראשוני בעל חתימה חלשה והתשתית חדשה, זיהוי מבוסס מוניטין עלול להתעכב.
3. ניצול לרעה של יכולות לגיטימיות. יכולת שזקוקה באמת לגישה לרשת עלולה בכל זאת להוביל לדליפת נתונים אם ההרשאות שלה רחבות מדי והבקרה חלשה.

זו הסיבה שבידוד, עקרון ההרשאות המינימליות ורישום יומנים הם תנאים שאינם ניתנים למשא ומתן בסביבות ההפעלה של הסוכנים.

אמצעי בקרה תפעוליים שמצמצמים בפועל את רדיוס הפיצוץ

הפעל סביבות ריצה של סוכנים כמו ביצוע קוד לא מהימן

אזהרות אבטחה רבות ודיונים בנושא סיכונים ארגוניים הגיעו לאותה מסקנה: אין להפעיל סביבות ריצה של סוכנים עם הרשאות נרחבות בתחנות עבודה רגילות. יש להפעילן בסביבות מבודדות (מכונות וירטואליות/קונטיינרים), עם אישורים מוגבלים וניטור. גם כאשר אין נוכחות של תוכנות זדוניות, השילוב של התמדה, אוטומציה וקוד צד שלישי יוצר פרופיל סיכונים שההגנות הקלאסיות על נקודות קצה עשויות שלא לכסות במלואו.

הגדר במפורש את ההרשאות של כלי הבקרה

דרך מעשית לתכנן הרשאות עבור מיומנויות היא להתייחס אליהן כמו לתפקידי IAM בענן. על המיומנות לבקש יכולות; על אדם או מנוע מדיניות להעניק רק את הנדרש; ויש לתעד את כל הפעולות הכרוכות בהרשאות מיוחדות. דוגמאות להרשאות מסוכנות שצריכות לעורר בדיקה נוספת:

• הפעלת פקודות shell ללא הגבלות
• קריאה ללא הגבלות במערכת הקבצים
• יכולת כתיבה לזיכרון קבוע/קובץ תצורה
• גישה בלתי מוגבלת לרשת החיצונית
• גישה לאסימוני זיהוי או למאגרי סיסמאות

אם אתם בונים יכולות פנימיות, הקפידו על "מפרטי יכולות" ובדקו את ההבדלים כפי שאתם בודקים שינויים ב-IAM של Terraform.

הוסף ניטור רציף וסריקה חוזרת

הסריקה היומית שהוכרזה על ידי OpenClaw היא בחירה עיצובית מרכזית: מידע על איומים משתנה. זה הגיוני לסווג מחדש רטרואקטיבית את הממצאים כאשר מגיעים כללי YARA, סביבות בדיקה (sandboxes) או מידע חדשים. יומן השינויים של VirusTotal מ-9 בפברואר 2026 מדגיש עדכוני זיהוי מתמשכים וכיסוי מפורש לחבילות המיומנויות של OpenClaw, מה שמזכיר לנו כי המערכת האקולוגית נמצאת תחת מעקב פעיל.

מדריך קצר ופרקטי לתגובה לאירועים עבור תוקפים

סימני מיון

כאשר יש לך חשד למיומנות זדונית:

• שמור את האובייקט המותקן כפי שהוא (קובץ ZIP, ספרייה או חבילת מטמון).
• חשב את ה-SHA-256 ובדוק ב-VirusTotal.
• השתמש ב-VirusTotal Graph, בקשרים ובמאפייני החיפוש כדי לנתח כל IOC שזוהה (דומיינים, כתובות URL, כתובות IP, חתימות).
• בדוק מה פעל: היסטוריית ה-shell, עץ התהליכים, חיבורים יוצאים וגישה למערכת הקבצים.
• יש להחליף את פרטי ההזדהות שהסביבה המבצעת יכולה לגשת אליהם (אסימונים, מפתחות API, אישורי OAuth).

כלל התחלה בסיסי ל-YARA/Livehunt

import "vt" rule suspicious_archive_with_downloader_strings { strings: $curl = "curl " ascii nocase $wget = "wget " ascii nocase $bash = "| bash" ascii nocase $sh = "| sh" ascii nocase
  תנאי: (vt.metadata.file_type == vt.FileType.ZIP או vt.metadata.file_type == vt.FileType.GZIP) ו-2 מתוך ($curl, $wget, $bash, $sh) }

סריקת מיומנויות עונה על שאלה אחת: "האם ייתכן שהחפץ הזה זדוני?" תוכנות אבטחה עדיין זקוקות לשתי תשובות נוספות:

• האם קיימים אצלנו פרצות אבטחה או הגדרות שגויות, שמאפשרות גישה לסביבת ההפעלה או לממשקים שלה?
• לאחר תיקון או חיזוק, האם נוכל להוכיח – באמצעות ראיות – שסגרנו את הפרצה, ולא רק "להרגיש" שסגרנו אותה?

זהו המקום שבו תהליך בדיקות חדירה המונחה על ידי בינה מלאכותית יכול להוות השלמה להגנות השוק: ניתן לבדוק באופן רציף את משטח התקיפה האמיתי, לאמת את התיקונים ולפיק דוחות המגובים בראיות. מחקר האבטחה OpenClaw של Penligent מתמקד בגבולות ביצוע, בדפוסי הזרקה עקיפה, ובהבדל בין "הבטחה" ל"הוכחה".

נספח

https://openclaw.ai/blog/virustotal-partnership https://thehackernews.com/2026/02/openclaw-integrates-virustotal-scanning.html https://www.csoonline.com/article/4129393/openclaw-integrates-virustotal-malware-scanning-as-security-firms-flag-enterprise-risks.html https://snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub/ https://gtidocs.virustotal.com/changelog/february-9th-2026-code-insight-openclaw-skill-packages-private-scanning-livehunt-rules-and-more https://blog.virustotal.com/2026/02/from-automation-to-infection-how.html https://blog.virustotal.com/2023/04/introducing-virustotal-code-insight.html https://blog.virustotal.com/2024/01/uncovering-hidden-threats-with.html https://cloud.google.com/blog/products/identity-security/rsa-google-cloud-security-ai-workbench-generative-ai https://genai.owasp.org/llmrisk/llm01-prompt-injection/ https://owasp.org/www-project-top-10-for-large-language-model-applications/ https://www.trendmicro.com/en_us/research/26/b/openclaw-skills-used-to-distribute-atomic-macos-stealer.html https://nvd.nist.gov/vuln/detail/CVE-2026-25253 https://github.com/advisories/GHSA-r2c6-8jc8-g32w https://nvd.nist.gov/vuln/detail/cve-2024-3094 https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094 https://nvd.nist.gov/vuln/detail/cve-2021-44228 https://www.penligent.ai/hackinglabs/virustotal-in-incident-response-how-to-identify-malware-fast-and-pivot-without-leaking-data/ https://www.penligent.ai/hackinglabs/es/the-openclaw-prompt-injection-problem-persistence-tool-hijack-and-the-security-boundary-that-doesnt-exist/ https://www.penligent.ai/hackinglabs/multiple-hacking-groups-exploit-openclaw-instances-to-steal-api-keys-and-deploy-malware/ https://penligent.ai/