BTC $63,856.06 -1.54%
ETH $1,862.79 -3.12%
BNB $572.58 -1.42%
XRP $1.08 -2.31%
SOL $75.23 -2.90%
TRX $0.3230 -0.45%
DOGE $0.0724 -2.28%
ADA $0.1606 -3.19%
BCH $221.46 -2.24%
LINK $8.34 -2.42%
HYPE $61.03 -9.20%
AAVE $91.13 -5.13%
SUI $0.7398 -2.58%
XLM $0.1863 -1.58%
ZEC $533.91 -7.35%
BTC $63,856.06 -1.54%
ETH $1,862.79 -3.12%
BNB $572.58 -1.42%
XRP $1.08 -2.31%
SOL $75.23 -2.90%
TRX $0.3230 -0.45%
DOGE $0.0724 -2.28%
ADA $0.1606 -3.19%
BCH $221.46 -2.24%
LINK $8.34 -2.42%
HYPE $61.03 -9.20%
AAVE $91.13 -5.13%
SUI $0.7398 -2.58%
XLM $0.1863 -1.58%
ZEC $533.91 -7.35%

慢雾:ClawHub は攻撃者がサプライチェーンの毒を仕掛ける新たなターゲットになりつつある。

2026-02-09 10:53:52
コレクション

据慢雾监测,开源 AI Agent 项目 OpenClaw 的官方插件中心 ClawHub 正逐渐成为攻击者实施供应链投毒的新目标。

由于平台缺乏完善、严格的审核机制,已有大量恶意 skill 混入其中,并被用于传播恶意代码或投放有害内容,给开发者和用户带来潜在安全风险。根据 Koi Security 的报告,在对 2,857 个 skills 的扫描中识别出 341 个恶意 skills,反映出典型的"插件/扩展市场供应链投毒"形态。

慢雾建议,不要把 SKILL.md 的"安装步骤"当成可信来源,任何要求复制粘贴执行的命令都应先审计;警惕"需要输入系统密码/授予辅助功能/系统设置"的提示,这往往是风险升级点;优先从官方渠道获取依赖与工具,避免执行来源不明的安装脚本。

app_icon
ChainCatcher Building the Web3 world with innovations.