GoPlus:ClawHub 有下載量偽造漏洞,熱門技能或含惡意程式碼
17
2
深潮 TechFlow 消息,03 月 26 日,根據 GoPlus Security 發布的安全警告,Silverfort 安全研究人員在 OpenClaw 的技能倉庫 ClawHub 中發現嚴重漏洞。 攻擊者可透過呼叫內部函數 downloads:increment 繞過所有防護機制,僅憑一條 curl 請求即可將下載量在數分鐘內刷至 2 萬次以上,從而將含惡意程式碼的技能推至搜尋排名第一,誘導用戶或 AI Agent 自動安裝。
惡意技能一旦運行,可竊取加密錢包、API 金鑰等敏感資料。 目前漏洞已在 24 小時內完成修復。 GoPlus 提示用戶,高下載量不等於安全,建議使用 AgentGuard 進行安全掃描與防護。
來源:
