セキュリティ上非常に懸念される発見 - ClawHubのアドオン市場が大規模な供給攻撃にさらされている。研究者たちはそこに1,184以上の悪意のあるスキルが埋め込まれているのを発見し、それぞれが非常に敏感なデータを盗むことができる—SSHキー、暗号通貨ウォレット、ブラウザのパスワード、そして最悪の場合、逆シェル接続を有効にすることも可能だ。

数字は本当に恐ろしい。たった一人の攻撃者が677の悪意のあるパッケージをアップロードしており、これは攻撃の(57%)の半数以上が一人の人物から来ていることを意味する。統計を見ると、プラットフォーム上のスキルの約37%が少なくとも一つのセキュリティ脆弱性を抱えている。

最も危険な部分？世界中の82か国にわたり、135,000以上のOpenClawの公開コピーが拡散している。最も有害なスキルの名前は「What Would Elon Do」—これには9つの異なる脆弱性が含まれ、そのうち2つは非常に深刻であり、スキルは4,000回の偽ダウンロードを獲得して正当性を装っている。

攻撃者は非常に巧妙な技術を駆使している—ClickFixによるソーシャルエンジニアリングとヒントインジェクション攻撃を組み合わせて、ユーザーやAIエージェントを同時に標的にしている。

OpenClawは迅速に動き、VirusTotalと協力してスキルの徹底的なスキャンと悪意のあるリストの除去を行った。しかし、過去にClawHubのスキルを使用したことがある場合は、すぐにすべての認証情報を変更する必要がある—パスワードを変更し、APIキーを停止し、セキュリティ設定を慎重に確認しよう。VirusTotalや専門のセキュリティツールによるスキャンは、怪しいファイルの検出に役立つ。