Baru saja menemukan sesuatu yang cukup mengkhawatirkan di ruang agen AI yang harus diketahui semua orang. Peneliti di Awesome Agents mengungkapkan serangan rantai pasokan besar-besaran yang menargetkan pasar ClawHub milik OpenClaw - kita berbicara tentang 1.184 skill berbahaya yang dirancang untuk mencuri kunci SSH, dompet crypto, password browser, dan pada dasarnya memberi penyerang akses jarak jauh penuh ke sistem Anda.



Inilah yang membuat saya terkejut: seorang penyerang tunggal mengunggah 677 paket berbahaya ini. Itu 57% dari semua listing berbahaya yang mereka temukan. Dan skala serangannya sangat besar - lebih dari 135.000 instance OpenClaw yang terekspos terdeteksi di 82 negara. Ini bukan sesuatu yang niche.

Rincian teknisnya bahkan lebih buruk. Sekitar 36,8% dari semua skill di ClawHub mengandung setidaknya satu kerentanan keamanan. Ada skill bernama 'What Would Elon Do' yang menjadi yang paling populer dan berbahaya - memiliki 9 kerentanan, 2 di antaranya kritis. Bagaimana bisa peringkatnya begitu tinggi? Ternyata itu mendapatkan 4.000 unduhan palsu. Teknik rekayasa sosial yang klasik.

Serangan ini menggabungkan rekayasa sosial ClickFix dengan teknik injeksi prompt untuk menargetkan pengguna dan agen AI sekaligus. Pendekatan yang cukup canggih.

Kabar baiknya adalah OpenClaw bermitra dengan VirusTotal untuk memindai semua di ClawHub dan menghapus konten berbahaya. Kemampuan pemindaian VirusTotal sangat penting di sini. Tapi yang perlu diperhatikan bagi siapa saja yang telah menggunakan skill dari ClawHub: ubah password Anda, cabut API key Anda, dan audit pengaturan keamanan Anda. Jangan tunggu sampai terlambat.

Jika Anda menjalankan instance OpenClaw, sangat disarankan untuk memeriksa pengaturan Anda. Fakta bahwa VirusTotal membantu mengidentifikasi dan mengkatalogkan kerentanan ini menunjukkan mengapa verifikasi keamanan pihak ketiga sangat penting. Risiko rantai pasokan semacam ini adalah alasan utama mengapa kita membutuhkan praktik keamanan yang lebih baik di seluruh ekosistem agen.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • Komentar
  • Posting ulang
  • Bagikan
Komentar
Tambahkan komentar
Tambahkan komentar
Tidak ada komentar
  • Sematkan