我剛剛得知 ClawHub 上的安全情況相當嚴重。研究人員發現了一場大規模的供應鏈攻擊——超過 1,184 個惡意技能，這些技能是專門設計用來竊取 SSH 密鑰、加密貨幣錢包和瀏覽器密碼。

這真的令人震驚。一名攻擊者負責 677 個封包——佔所有惡意記錄的 57%。平台上發現，36.8% 的技能至少存在一個漏洞。而最“受歡迎”的惡意技能名為“如果 Elon 會怎麼做”，獲得了 4,000 次假下載，並包含 9 個漏洞，其中兩個是關鍵級別。

有趣的是，這些技能同時攻擊用戶和 AI 代理，利用社會工程學和提示注入。問題的規模——超過 135,000 個 ActiveClaw 實例，分布在全球 82 個國家。

從積極的一面來看，OpenClaw 已經與 VirusTotal 合作，對平台上的所有技能進行掃描並刪除惡意記錄。VirusTotal 有助於實時檢測和阻止此類威脅。但如果你曾使用過 ClawHub 的技能，最好不要等待——更換所有帳戶資料，取消 API 密鑰，並檢查安全設置。還是以防萬一比較好。