Saya baru saja mengetahui sesuatu yang cukup mengkhawatirkan tentang ClawHub, pasar skill dari OpenClaw. Para peneliti dari Awesome Agents menemukan bahwa platform ini menjadi sasaran serangan besar-besaran di rantai pasokan, dengan tidak kurang dari 1.184 skill berbahaya yang dikonfirmasi. Ini melibatkan satu penyerang yang berhasil mengunggah 677 paket berbahaya, yang mewakili 57% dari total kontaminasi.

Yang paling mencolok adalah skala masalahnya. Lebih dari 135.000 instance OpenClaw yang terekspos tersebar di 82 negara. Dan jika itu belum cukup, 36,8% dari skill yang tersedia di ClawHub memiliki setidaknya satu kerentanan keamanan. Ini bukan hal yang kecil.

Skill berbahaya ini dirancang untuk mencuri hampir semua: kunci SSH, dompet cryptocurrency, kata sandi browser, bahkan mengaktifkan shell balik. Mereka menggunakan teknik rekayasa sosial seperti ClickFix dan injeksi prompt untuk menipu pengguna maupun agen AI.

Kasus yang paling mencolok adalah skill bernama 'What Would Elon Do', yang mencapai posisi pertama dengan 4.000 unduhan palsu. Ternyata, skill ini memiliki 9 kerentanan, dua di antaranya kritis. Sangat mengkhawatirkan, sebenarnya.

Kabar baiknya adalah OpenClaw bergerak cepat dan bekerja sama dengan VirusTotal untuk memindai semua skill di platform ini. VirusTotal sangat penting dalam mengidentifikasi dan memverifikasi besarnya ancaman ini. Mereka juga telah secara sistematis menghapus daftar berbahaya tersebut.

Jika Anda pernah menggunakan skill dari ClawHub, para ahli menyarankan agar Anda tidak menunggu lagi: ubah semua kredensial Anda, cabut kunci API Anda, dan periksa pengaturan keamanan Anda. Ini bukan paranoia, ini langkah pencegahan dasar. VirusTotal dan alat analisis keamanan lainnya dapat membantu Anda memverifikasi apakah ada sesuatu di sistem Anda yang telah dikompromikan. Saatnya untuk memeriksa apa yang Anda instal dan dari mana Anda mengunduhnya.