GoPlus：ClawHub 存在下載量偽造漏洞，熱門技能或含惡意代碼

ChainCatcher 消息，據 GoPlus Security 發布的安全警告，Silverfort 安全研究人員在 OpenClaw 的技能倉庫 ClawHub 中發現嚴重漏洞。攻擊者可通過調用內部函數 downloads:increment 繞過所有防護機制，僅憑一條 curl 請求即可將下載量在數分鐘內刷至 2 萬次以上，從而將含惡意代碼的技能推至搜索排名第一，誘導用戶或 AI Agent 自動安裝。惡意技能一旦運行，可竊取加密錢包、API 密鑰等敏感數據。目前該漏洞已在 24 小時內完成修復。GoPlus 提示用戶，高下載量不等于安全，建議使用 AgentGuard 進行安全掃描與防護。

• 喜歡使用社交軟體關注？關注我們的 Twitter，或者加入 Telegram！
• 想關注最新資訊？ 下載CoinCarp App吧
• 有新聞需要爆料，官方公告需要發布? 來給我們發郵件吧！[email protected]