我剛剛得知 ClawHub 上的安全情況相當嚴重。研究人員發現了一場大規模的供應鏈攻擊——超過 1,184 個惡意技能,這些技能是專門設計用來竊取 SSH 密鑰、加密貨幣錢包和瀏覽器密碼。
這真的令人震驚。一名攻擊者負責 677 個封包——佔所有惡意記錄的 57%。平台上發現,36.8% 的技能至少存在一個漏洞。而最“受歡迎”的惡意技能名為“如果 Elon 會怎麼做”,獲得了 4,000 次假下載,並包含 9 個漏洞,其中兩個是關鍵級別。
有趣的是,這些技能同時攻擊用戶和 AI 代理,利用社會工程學和提示注入。問題的規模——超過 135,000 個 ActiveClaw 實例,分布在全球 82 個國家。
從積極的一面來看,OpenClaw 已經與 VirusTotal 合作,對平台上的所有技能進行掃描並刪除惡意記錄。VirusTotal 有助於實時檢測和阻止此類威脅。但如果你曾使用過 ClawHub 的技能,最好不要等待——更換所有帳戶資料,取消 API 密鑰,並檢查安全設置。還是以防萬一比較好。
查看原文