BTC $64,193.73 -1.18%
ETH $1,871.90 -2.55%
BNB $575.82 -0.55%
XRP $1.10 -0.95%
SOL $75.91 -2.28%
TRX $0.3227 -0.49%
DOGE $0.0733 -0.83%
ADA $0.1630 -0.87%
BCH $222.49 -1.58%
LINK $8.40 -1.44%
HYPE $62.33 -7.93%
AAVE $92.51 -4.19%
SUI $0.7489 -0.28%
XLM $0.1905 +1.39%
ZEC $551.16 -3.57%
BTC $64,193.73 -1.18%
ETH $1,871.90 -2.55%
BNB $575.82 -0.55%
XRP $1.10 -0.95%
SOL $75.91 -2.28%
TRX $0.3227 -0.49%
DOGE $0.0733 -0.83%
ADA $0.1630 -0.87%
BCH $222.49 -1.58%
LINK $8.40 -1.44%
HYPE $62.33 -7.93%
AAVE $92.51 -4.19%
SUI $0.7489 -0.28%
XLM $0.1905 +1.39%
ZEC $551.16 -3.57%

GoPlus:ClawHub 存在下載量偽造漏洞,熱門技能或含惡意代碼

2026-03-26 19:26:53
收藏

ChainCatcher 消息,据 GoPlus Security 發布的安全警告,Silverfort 安全研究人員在 OpenClaw 的技能倉庫 ClawHub 中發現嚴重漏洞。攻擊者可通過調用內部函數 downloads:increment 繞過所有防護機制,僅憑一條 curl 請求即可將下載量在數分鐘內刷至 2 萬次以上,從而將含惡意代碼的技能推至搜索排名第一,誘導用戶或 AI Agent 自動安裝。

惡意技能一旦運行,可竊取加密錢包、API 密鑰等敏感數據。目前該漏洞已在 24 小時內完成修復。GoPlus 提示用戶,高下載量不等於安全,建議使用 AgentGuard 進行安全掃描與防護。

app_icon
ChainCatcher 與創新者共建Web3世界