我剛剛得知一件相當令人擔憂的事情，關於 ClawHub，OpenClaw 的技能市場。Awesome Agents 的研究人員發現該平台遭受了一次大規模的供應鏈攻擊，確認有多達 1,184 個惡意技能。這是一名攻擊者成功上傳了 677 個惡意套件，佔總污染的 57%。

最令人關注的是問題的規模。超過 135,000 個 OpenClaw 的暴露實例散布在 82 個國家。而且如果這還不夠，ClawHub 上可用的技能中有 36.8% 至少存在一個安全漏洞。這絕非小事。

這些惡意技能被設計用來幾乎竊取所有東西：SSH 密鑰、加密貨幣錢包、瀏覽器密碼，甚至啟動反向 Shell。它們利用社交工程技術，如 ClickFix 和提示注入，來欺騙用戶和 AI 代理。

最著名的案例是名為「What Would Elon Do」的技能，該技能以 4,000 次假下載登上榜首。結果發現它有 9 個漏洞，其中兩個是嚴重的。相當令人不安，說真的。

好消息是，OpenClaw 反應迅速，並與 VirusTotal 合作，對平台上的所有技能進行掃描。VirusTotal 在識別和驗證這些威脅的嚴重程度方面起到了關鍵作用。他們也在系統性地刪除惡意清單。

如果你使用過 ClawHub 的任何技能，專家建議你不要再等待：立即更換所有憑證，撤銷你的 API 密鑰，並檢查你的安全設置。這不是偏執，而是基本的預防措施。VirusTotal 和其他安全分析工具可以幫助你驗證系統是否被入侵。現在是時候檢查你安裝了什麼，以及你從哪裡獲取的。