Медовий туман: ClawHub поступово стає новою ціллю для зловмисників у здійсненні отруєння ланцюга постачання

PANews 9 лютого повідомляє, що за даними моніторингу Slow Fog, офіційний центр плагінів проекту відкритого AI-агента OpenClaw ClawHub поступово стає новою ціллю для зловмисників, які здійснюють атаки через підміни у ланцюжку поставок. Через відсутність належних та суворих механізмів перевірки, вже багато зловмисних навичок (skills) були вставлені туди та використовуються для поширення шкідливого коду або розміщення шкідливого контенту, що створює потенційні ризики безпеки для розробників і користувачів. За даними звіту Koi Security, при скануванні 2,857 навичок було виявлено 341 зловмисних skill, що відображає типову схему «підміни у ланцюжку поставок плагінів/розширень».

Slow Fog рекомендує не вважати «інструкції з установки» у файлі SKILL.md за надійне джерело, будь-які команди, що вимагають копіювання та вставки для виконання, слід попередньо перевірити; бути обережним із повідомленнями про «введення системного пароля/надання допоміжних функцій/налаштувань системи», оскільки це часто є точками підвищення ризику; переважно отримувати залежності та інструменти з офіційних джерел, щоб уникнути виконання невідомих скриптів для встановлення.