一個非常令人擔憂的安全漏洞剛剛被發現——ClawHub 擴展市場遭遇大規模供應鏈攻擊。研究人員發現那裡藏有超過 1,184 個惡意技能，每一個都能竊取敏感數據——包括 SSH 密鑰、加密錢包、瀏覽器密碼，最糟糕的是，它們還能啟動反向 Shell 連接。

數字真的令人毛骨悚然。一名攻擊者就上傳了 677 個惡意套件，這意味著超過一半的攻擊 (57%) 來自同一個人。如果你查看統計數據，你會發現大約 37% 的平台技能至少存在一個安全漏洞。

最危險的部分？全球範圍內有超過 135,000 個 OpenClaw 的公開副本，分佈在 82 個國家。最具破壞力的技能名為「What Would Elon Do」——其中包含 9 個不同的漏洞，兩個非常嚴重，該技能還獲得了 4,000 次虛假下載以顯得合法。

攻擊者使用非常聰明的技術——結合社交工程 ClickFix 和注入提示攻擊，同時針對用戶和人工智能代理。

OpenClaw 迅速行動，並與 VirusTotal 合作，對技能進行全面掃描並刪除惡意列表。但如果你過去曾使用過 ClawHub 的任何技能，則需要立即更改所有認證——更改密碼、停用 API 密鑰，並仔細檢查安全設置。通過 VirusTotal 或專業安全工具進行檢查，或許能幫助你確認是否有可疑文件。