BTC $64,459.11 -0.44%
ETH $1,878.41 -1.41%
BNB $577.59 +0.04%
XRP $1.11 +0.12%
SOL $76.37 -1.41%
TRX $0.3230 -0.74%
DOGE $0.0735 -0.26%
ADA $0.1632 +0.13%
BCH $222.12 -3.86%
LINK $8.43 -0.44%
HYPE $64.69 -4.29%
AAVE $91.97 -4.65%
SUI $0.7517 +0.80%
XLM $0.1918 +2.83%
ZEC $555.62 -3.31%
BTC $64,459.11 -0.44%
ETH $1,878.41 -1.41%
BNB $577.59 +0.04%
XRP $1.11 +0.12%
SOL $76.37 -1.41%
TRX $0.3230 -0.74%
DOGE $0.0735 -0.26%
ADA $0.1632 +0.13%
BCH $222.12 -3.86%
LINK $8.43 -0.44%
HYPE $64.69 -4.29%
AAVE $91.97 -4.65%
SUI $0.7517 +0.80%
XLM $0.1918 +2.83%
ZEC $555.62 -3.31%

GoPlus:ClawHubにはダウンロード数の偽造脆弱性が存在し、人気のスキルには悪意のあるコードが含まれている可能性があります。

2026-03-26 19:26:53
コレクション

GoPlus Security が発表したセキュリティ警告によると、Silverfort のセキュリティ研究者は OpenClaw のスキルリポジトリ ClawHub に深刻な脆弱性を発見しました。攻撃者は内部関数 downloads:increment を呼び出すことで、すべての防御機構を回避し、単一の curl リクエストで数分以内にダウンロード数を 2 万回以上に増やすことができ、悪意のあるコードを含むスキルを検索ランキングの第一位に押し上げ、ユーザーや AI エージェントに自動的にインストールさせることができます。

悪意のあるスキルが実行されると、暗号財布や API キーなどの敏感なデータを盗むことができます。現在、この脆弱性は 24 時間以内に修正されました。GoPlus はユーザーに対し、高いダウンロード数が安全を意味するわけではないと警告し、AgentGuard を使用して安全スキャンと防御を行うことを推奨しています。

app_icon
ChainCatcher Building the Web3 world with innovations.