刚刚发现了一个非常令人担忧的安全威胁——ClawHub 的附加组件市场正遭受大规模供应链攻击。研究人员发现那里被植入了超过 1,184 项恶意技能，每一项都能够窃取非常敏感的数据——SSH 密钥、加密钱包、浏览器密码；更糟的是，它们还能够启用反向 Shell 连接。

这些数字确实令人毛骨悚然。仅有一名攻击者就上传了 677 个恶意数据包，这意味着超过一半的攻击 (57%) 来自同一个人。如果你查看统计数据，会发现平台上大约 37% 的所有技能至少包含一个安全漏洞。

最危险的部分？全球范围内已经有超过 135,000 份暴露的 OpenClaw 副本，分布在 82 个国家。危害最大的技能名为 “What Would Elon Do”——其中包含 9 个独立漏洞，其中 2 个非常关键；而该技能还获得了 4,000 次虚假下载，以便看起来更具合法性。

攻击者使用了非常巧妙的手段——他们将 ClickFix 的社交工程与提示注入攻击结合起来，进而在同一时间瞄准用户和人工智能代理。

OpenClaw 行动迅速，并与 VirusTotal 合作对技能进行了全面扫描与移除恶意内容。但如果你过去曾使用过 ClawHub 上的任何技能，你需要立刻更换所有凭据——更改密码、停用 API 密钥，并仔细检查安全设置。通过 virus total 进行扫描，或借助专业安全工具，可能有助于确认是否存在任何可疑文件。