clawhub

슬로우 미스트 창립자 유선이 안전 경고를 게시했습니다. 현재 OpenClaw의 ClawHub 마켓에서 1,184개의 악성 스킬이 발견되었으며, 이 스킬들은 SSH 키, 암호화된 지갑, 브라우저 비밀번호를 탈취하고 역방향 셸을 열 수 있습니다. 단 한 명의 공격자가 677개의 소프트웨어 패키지를 업로드했습니다. 1위 스킬에는 9개의 취약점이 존재하며, 다운로드 수는 수천 건에 달합니다.유선은 사용자에게 텍스트가 더 이상 텍스트가 아니라 명령어라고 경고했습니다. 독립 환경에서 AI 도구를 사용하는 것이 좋으며, 많은 OpenClaw 스킬에는 잠재적 위험이 존재합니다. 또한, Web3 보안에서의 계약은 일부에 불과하며, 실제 사고의 원인은 이미 계약만이 아닙니다. 며칠 전 Moonwell이 178만 달러를 도난당했으며, 결함 코드의 출처는 Co-Authored-By: Claude Opus 4.6입니다.

据慢雾监测，开源 AI Agent 项目 OpenClaw 的官方插件中心 ClawHub 正逐渐成为攻击者实施供应链投毒的新目标。由于平台缺乏完善、严格的审核机制，已有大量恶意 skill 混入其中，并被用于传播恶意代码或投放有害内容，给开发者和用户带来潜在安全风险。根据 Koi Security 的报告，在对 2,857 个 skills 的扫描中识别出 341 个恶意 skills，反映出典型的"插件/扩展市场供应链投毒"形态。慢雾建议，不要把 SKILL.md 的"安装步骤"当成可信来源，任何要求复制粘贴执行的命令都应先审计；警惕"需要输入系统密码/授予辅助功能/系统设置"的提示，这往往是风险升级点；优先从官方渠道获取依赖与工具，避免执行来源不明的安装脚本。