BTC $62,219.67 -2.70%
ETH $1,773.19 -2.57%
BNB $566.22 -1.48%
XRP $1.06 -2.85%
SOL $74.84 -3.79%
TRX $0.3237 -2.37%
DOGE $0.0718 -1.72%
ADA $0.1569 -3.46%
BCH $236.25 -2.03%
LINK $7.88 -1.88%
HYPE $63.23 -6.56%
AAVE $94.38 -2.55%
SUI $0.7196 -2.66%
XLM $0.1802 -3.60%
ZEC $497.71 -7.03%
BTC $62,219.67 -2.70%
ETH $1,773.19 -2.57%
BNB $566.22 -1.48%
XRP $1.06 -2.85%
SOL $74.84 -3.79%
TRX $0.3237 -2.37%
DOGE $0.0718 -1.72%
ADA $0.1569 -3.46%
BCH $236.25 -2.03%
LINK $7.88 -1.88%
HYPE $63.23 -6.56%
AAVE $94.38 -2.55%
SUI $0.7196 -2.66%
XLM $0.1802 -3.60%
ZEC $497.71 -7.03%

慢雾:ClawHub 正逐渐成为攻击者实施供应链投毒的新目标

2026-02-09 10:53:52
收藏

ChainCatcher 消息,据慢雾监测,开源 AI Agent 项目 OpenClaw 的官方插件中心 ClawHub 正逐渐成为攻击者实施供应链投毒的新目标。

由于平台缺乏完善、严格的审核机制,已有大量恶意 skill 混入其中,并被用于传播恶意代码或投放有害内容,给开发者和用户带来潜在安全风险。根据 Koi Security 的报告,在对 2,857 个 skills 的扫描中识别出 341 个恶意 skills,反映出典型的“插件/扩展市场供应链投毒”形态。

慢雾建议,不要把 SKILL.md 的“安装步骤”当成可信来源,任何要求复制粘贴执行的命令都应先审计;警惕“需要输入系统密码/授予辅助功能/系统设置”的提示,这往往是风险升级点;优先从官方渠道获取依赖与工具,避免执行来源不明的安装脚本。

app_icon
ChainCatcher 与创新者共建Web3世界