慢霧：ClawHub 正逐漸成為攻擊者實施供應鏈投毒的新目標

ChainCatcher 消息，據慢霧監測，開源 AI Agent 項目 OpenClaw 的官方插件中心 ClawHub 正逐漸成為攻擊者實施供應鏈投毒的新目標。 由于平臺缺乏完善、嚴格的審核機制，已有大量惡意 skill 混入其中，并被用于傳播惡意代碼或投放有害內容，給開發者和用戶帶來潛在安全風險。根據 Koi Security 的報告，在對 2,857 個 skills 的掃描中識別出 341 個惡意 skills，反映出典型的“插件/擴展市場供應鏈投毒”形態。 慢霧建議，不要把 SKILL.md 的“安裝步驟”當成可信來源，任何要求復制粘貼執行的命令都應先審計；警惕“需要輸入系統密碼/授予輔助功能/系統設置”的提示，這往往是風險升級點；優先從官方渠道獲取依賴與工具，避免執行來源不明的安裝腳本。

• 喜歡使用社交軟體關注？關注我們的 Twitter，或者加入 Telegram！
• 想關注最新資訊？ 下載CoinCarp App吧
• 有新聞需要爆料，官方公告需要發布? 來給我們發郵件吧！[email protected]