🚨 THE #1 AI SKILL ON OPENCLAW WAS LITERALLY MALWARE.
AI革命は壊滅的なサプライチェーン攻撃に直面した。
1,184の悪意のあるプラグインがCLAWHUBマーケットプレイスに氾濫した。
CLAWHAVOCキャンペーンの崩壊は残酷だ:
スキルを公開する唯一の障壁は1週間前のGitHubアカウントだった。
攻撃者は暗号ボット、ウォレットトラッカー、YouTubeツールとして偽装したパッケージをアップロードした。
ファイル内の完璧なドキュメントは、ユーザーを騙して単一のターミナルコマンドを実行させた。
そのコマンドはmacOS上でAtomic Stealerをドロップした。
瞬時にブラウザのパスワード、SSHキー、暗号通貨ウォレット、そして.envファイルに保存されているすべてのAPIキーを剥ぎ取った。
他のシステムでは、リバースシェルを開き、攻撃者に完全なルート権限を与えた。
CISCOはトップランクの「ELONは何をするか?」スキルをスキャンした。
それには9つの脆弱性があり、そのうち2つは重大な欠陥だった。
プロンプトインジェクションを利用して安全ルールを回避し、静かにデータを外部に送信した。
これはステロイド版のNPMサプライチェーンの悪夢だ。
しかし今や、マルウェアは実際に考えることができる。
原文表示