我剛剛發現了一起相當嚴重的 ClawHub 市場鏈上攻擊事件。根據來自 Awesome Agents 的研究人員，該平台被感染了超過 1,180 個惡意技能，這個數字確實令人擔憂。

最值得注意的是攻擊的規模。一名攻擊者上傳了 677 個惡意套件，佔總感染數的近 60%。這些技能不僅簡單，它們具有竊取 SSH 密鑰、加密貨幣錢包、瀏覽器密碼甚至啟動反向 Shell 的能力。我特別擔心的是，超過 36% 的 ClawHub 技能至少存在一個安全漏洞。

其中一個名為 "What Would Elon Do" 的技能排名第一，下載次數達到 4,000 次，但它包含 9 個漏洞，其中 2 個屬於嚴重漏洞。顯然，這些下載數字是偽造的。

第二，攻擊者主要使用社會工程技術 "ClickFix" 和提示注入攻擊，針對用戶和 AI 代理進行攻擊。這顯示出攻擊的高度複雜性。

第三，根據報告，全球有超過 135,000 個 OpenClaw 實例在 82 個國家曝光。這個規模確實很大。

幸運的是，OpenClaw 已迅速採取行動，與 VirusTotal 合作掃描所有技能並移除惡意列表。然而，如果你曾使用過任何來自 ClawHub 的技能，我建議你立即更改所有認證資訊、取消 API 金鑰並檢查安全設置。不要對這類攻擊掉以輕心。