根據 Awesome Agents,安全研究人員發現 OpenClaw 的 ClawHub 插件市場遭受嚴重供應鏈攻擊,共確認 1,184 個惡意 skill。這些惡意 skill 能竊取 SSH 金鑰、加密貨幣錢包、瀏覽器密碼,並開啟反向 Shell。 研究顯示,單一攻擊者上傳了 677 個惡意套件,佔所有惡意列表的 57%。ClawHub 上 36.8% 的 skill 至少存在一個安全漏洞,全球 82 個國家有超過 135,000 個暴露的 OpenClaw 實例。 最受歡迎的惡意 skill「What Would Elon Do」被發現含有 9 個漏洞,其中 2 個為嚴重級別,該 skill 透過 4,000 次虛假下載獲得排名第一的位置。這些惡意 skill 主要透過「ClickFix」社會工程學技術與提示注入攻擊,同時針對用戶與 AI 代理。 OpenClaw 已與 VirusTotal 合作掃描所有 skill 並移除惡意列表。安全專家建議曾使用 ClawHub skill 的用戶更換所有憑證、撤銷 API 金鑰並檢查安全設定。
ClawHub 市場感染了 1,184 種惡意技能,針對 SSH 金鑰和加密錢包
TechFlow分享
精華摘要
根據 TechFlow 報導,ClawHub 市場遭受 1,184 個惡意技能攻擊,目標為 SSH 金鑰和加密錢包。其中一名攻擊者上傳了 677 個惡意套件,佔總數的 57%。這些技能利用社交工程和提示注入來竊取瀏覽器密碼並啟用反向殼層。OpenClaw 與 VirusTotal 合作進行移除。此事件凸顯了流動性與加密市場中的反恐融資(CFT)隱憂。
來源:顯示原文
免責聲明:本頁面資訊可能來自第三方,不一定反映KuCoin的觀點或意見。本內容僅供一般參考之用,不構成任何形式的陳述或保證,也不應被解釋為財務或投資建議。 KuCoin 對任何錯誤或遺漏,或因使用該資訊而導致的任何結果不承擔任何責任。
虛擬資產投資可能存在風險。請您根據自身的財務狀況仔細評估產品的風險以及您的風險承受能力。如需了解更多信息,請參閱我們的使用條款和風險披露 。