慢霧：ClawHub 正逐漸成為攻擊者實施供應鏈投毒的新目標

ChainCatcher 消息，据慢霧監測，開源 AI Agent 項目 OpenClaw 的官方插件中心 ClawHub 正逐漸成為攻擊者實施供應鏈投毒的新目標。

由於平台缺乏完善、嚴格的審核機制，已有大量惡意 skill 混入其中，並被用於傳播惡意代碼或投放有害內容，給開發者和用戶帶來潛在安全風險。根據 Koi Security 的報告，在對 2,857 個 skills 的掃描中識別出 341 個惡意 skills，反映出典型的"插件/擴展市場供應鏈投毒"形態。

慢霧建議，不要把 SKILL.md 的"安裝步驟"當成可信來源，任何要求複製粘貼執行的命令都應先審計；警惕"需要輸入系統密碼/授予輔助功能/系統設置"的提示，這往往是風險升級點；優先從官方渠道獲取依賴與工具，避免執行來源不明的安裝腳本。