慢雾：ClawHub正逐漸成為攻擊者實施供應鏈投毒的新目標

PANews 2月9日消息，据慢雾监测，开源AI Agent项目OpenClaw的官方插件中心ClawHub正逐渐成为攻击者实施供应链投毒的新目标。由于平台缺乏完善、严格的审核机制，已有大量恶意skill混入其中，并被用于传播恶意代码或投放有害内容，给开发者和用户带来潜在安全风险。根据Koi Security的报告，在对2,857個skills的掃描中識別出341個惡意skills，反映出典型的“插件/擴展市場供應鏈投毒”形態。 慢雾建議，不要把SKILL.md的“安裝步驟”當成可信來源，任何要求複製粘貼執行的命令都應先審計；警惕“需要輸入系統密碼/授予輔助功能/系統設置”的提示，這往往是風險升級點；優先從官方渠道獲取依賴與工具，避免執行來源不明的安裝腳本。