ClawHub Market ติดเชื้อด้วยทักษะอันตราย 1,184 ทักษะที่มุ่งเป้าไปที่กุญแจ SSH และวอลเล็ตคริปโต

ตาม Awesome Agents นักวิจัยด้านความปลอดภัยพบว่าตลาดปลั๊กอิน ClawHub ของ OpenClaw ได้รับการโจมตีแบบซัพพลายเชนอย่างรุนแรง โดยมีการยืนยันว่ามี skill ที่เป็นอันตรายทั้งหมด 1,184 ตัว ซึ่ง skill เหล่านี้สามารถขโมยคีย์ SSH กระเป๋าสตางค์คริปโตเคอร์เรนซี รหัสผ่านเบราว์เซอร์ และเปิด Reverse Shell การวิจัยแสดงให้เห็นว่าผู้โจมตีเพียงรายเดียวได้อัปโหลดแพ็กเกจที่เป็นอันตราย 677 ชุด คิดเป็น 57% ของรายการอันตรายทั้งหมด 36.8% ของ skill บน ClawHub มีช่องโหว่ด้านความปลอดภัยอย่างน้อยหนึ่งช่องโหว่ และมีตัวอย่าง OpenClaw ที่เปิดเผยต่อสาธารณะมากกว่า 135,000 ตัวอย่างใน 82 ประเทศทั่วโลก skill ที่เป็นอันตรายที่ได้รับความนิยมมากที่สุด "What Would Elon Do" ถูกพบว่ามีช่องโหว่ 9 ช่องโหว่ โดยมี 2 ช่องโหว่ระดับรุนแรง และ skill นี้ได้รับตำแหน่งอันดับหนึ่งผ่านการดาวน์โหลดเทียม 4,000 ครั้ง skill อันตรายเหล่านี้ส่วนใหญ่ใช้เทคนิคทางสังคมวิทยา "ClickFix" และการโจมตีแบบ prompt injection เพื่อโจมตีทั้งผู้ใช้และ AI agent OpenClaw ได้ร่วมมือกับ VirusTotal เพื่อสแกน skill ทั้งหมดและลบรายการที่เป็นอันตรายออกแล้ว ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ผู้ใช้ที่เคยใช้งาน skill จาก ClawHub เปลี่ยนรหัสผ่านทั้งหมด ยกเลิก API key และตรวจสอบการตั้งค่าความปลอดภัย