Медведь: ClawHub постепенно становится новой целью злоумышленников для осуществления поставочной цепочки отравлений

PANews 9 февраля, по данным мониторинга Slow Fog, официальный центр плагинов проекта открытого AI-агента OpenClaw ClawHub постепенно становится новой целью злоумышленников для реализации поставочной цепочки отравлений. Из-за отсутствия полноценного и строгого механизма проверки на платформе уже внедрено множество вредоносных skill, которые используются для распространения вредоносного кода или размещения вредоносного контента, что создает потенциальные риски безопасности для разработчиков и пользователей. Согласно отчету Koi Security, при сканировании 2,857 skills было выявлено 341 вредоносных skill, что отражает типичную форму «отравления цепочки поставок плагинов/расширений».

Slow Fog рекомендует не считать раздел «Установка» в SKILL.md надежным источником, любые команды, требующие копирования и вставки для выполнения, должны быть предварительно проверены; остерегайтесь подсказок «требуется ввести системный пароль/предоставить доступ к вспомогательным функциям/настроить системные параметры», так как это часто является точкой повышения риска; приоритетно получать зависимости и инструменты из официальных источников, избегая выполнения скриптов установки из ненадежных источников.