BTC $62,775.57 -2.14%
ETH $1,814.88 -3.51%
BNB $558.66 -3.32%
XRP $1.07 -3.25%
SOL $73.72 -3.42%
TRX $0.3225 -0.21%
DOGE $0.0713 -2.69%
ADA $0.1585 -2.46%
BCH $216.98 -2.60%
LINK $8.05 -4.67%
HYPE $59.83 -8.96%
AAVE $90.32 -4.32%
SUI $0.7252 -2.82%
XLM $0.1825 -3.89%
ZEC $526.23 -5.21%
BTC $62,775.57 -2.14%
ETH $1,814.88 -3.51%
BNB $558.66 -3.32%
XRP $1.07 -3.25%
SOL $73.72 -3.42%
TRX $0.3225 -0.21%
DOGE $0.0713 -2.69%
ADA $0.1585 -2.46%
BCH $216.98 -2.60%
LINK $8.05 -4.67%
HYPE $59.83 -8.96%
AAVE $90.32 -4.32%
SUI $0.7252 -2.82%
XLM $0.1825 -3.89%
ZEC $526.23 -5.21%

GoPlus:ClawHub 存在下载量伪造漏洞,热门技能或含恶意代码

2026-03-26 19:26:53
收藏

ChainCatcher 消息,据 GoPlus Security 发布的安全警告,Silverfort 安全研究人员在 OpenClaw 的技能仓库 ClawHub 中发现严重漏洞。攻击者可通过调用内部函数 downloads:increment 绕过所有防护机制,仅凭一条 curl 请求即可将下载量在数分钟内刷至 2 万次以上,从而将含恶意代码的技能推至搜索排名第一,诱导用户或 AI Agent 自动安装。

恶意技能一旦运行,可窃取加密钱包、API 密钥等敏感数据。目前该漏洞已在 24 小时内完成修复。GoPlus 提示用户,高下载量不等于安全,建议使用 AgentGuard 进行安全扫描与防护。

app_icon
ChainCatcher 与创新者共建Web3世界