GoPlus：ClawHub tồn tại lỗ hổng giả mạo lượt tải xuống, kỹ năng phổ biến có thể chứa mã độc

Deep Tide TechFlow tin tức, ngày 26 tháng 3, theo cảnh báo an ninh do GoPlus Security phát hành, các nhà nghiên cứu an ninh của Silverfort đã phát hiện ra lỗ hổng nghiêm trọng trong kho kỹ năng của OpenClaw, ClawHub. Kẻ tấn công có thể vượt qua tất cả các cơ chế phòng vệ bằng cách gọi hàm nội bộ downloads:increment, chỉ với một yêu cầu curl để tăng số lượt tải xuống lên hơn 20.000 lần trong vài phút, từ đó đẩy kỹ năng chứa mã độc lên vị trí hàng đầu trong kết quả tìm kiếm, dụ dỗ người dùng hoặc AI Agent tự cài đặt.

Khi kỹ năng độc hại chạy, nó có thể đánh cắp ví tiền mã hóa, API key và các dữ liệu nhạy cảm khác. Hiện tại, lỗ hổng này đã được khắc phục trong vòng 24 giờ. GoPlus nhắc nhở người dùng rằng số lượt tải cao không đồng nghĩa với an toàn, khuyên dùng AgentGuard để quét và phòng ngừa an ninh.