我刚刚得知ClawHub存在相当严重的安全问题。研究人员发现了一次大规模的供应链攻击——超过1184个恶意技能，专门设计用于窃取SSH密钥、加密钱包和浏览器密码。

这确实令人震惊。一个攻击者负责677个包——占所有恶意记录的57%。平台上发现，36.8%的技能至少存在一个漏洞。而最“受欢迎”的恶意技能名为“ Elon会怎么做”，获得了4000次虚假下载，并包含9个漏洞，其中两个是关键级别。

有趣的是，这些技能同时攻击用户和AI代理，利用社会工程学和提示注入。问题的规模——超过135,000个OpenClaw的活跃实例，分布在全球82个国家。

从积极方面来看，OpenClaw已与VirusTotal合作，对平台上的所有技能进行扫描，并删除恶意记录。VirusTotal帮助实时检测和阻止此类威胁。但如果你使用过ClawHub的技能，最好不要等待——更改所有账户信息，取消API密钥，并检查安全设置。还是预防为主。