🚨 OPENCLAW 上排名第一的 AI 技能实际上是恶意软件。

AI 革命刚刚遭遇了一次灾难性的供应链攻击。
1184 个恶意插件涌入 CLAWHUB 市场。
CLAWHAVOC 活动的崩溃令人震惊：
发布技能的唯一障碍是一个一周前的 GitHub 账户。
攻击者上传的包被伪装成加密机器人、钱包追踪器和 YouTube 工具。
文件中的完美文档诱使用户运行了一个单一的终端命令。
该命令在 macOS 上安装了 Atomic Stealer。
它立即清除了浏览器密码、SSH 密钥、加密钱包以及存放在 .ENV 文件中的所有 API 密钥。
在其他系统上，它打开了反向 shell，赋予攻击者完全的 root 控制权。
思科扫描了排名靠前的“ELON 会怎么做？”技能。
它存在 9 个漏洞，其中包括 2 个关键漏洞。
它利用提示注入绕过安全规则，悄无声息地窃取数据。
这就是用增强版的 NPM 供应链噩梦。
但现在，恶意软件实际上可以思考。