مخاطر بطيئة: ClawHub يصبح تدريجيًا هدفًا جديدًا للمهاجمين لتنفيذ تسميم سلسلة التوريد

PANews 9 فبراير، وفقًا لمراقبة 慢雾، فإن مركز الإضافات الرسمي لمشروع وكيل الذكاء الاصطناعي المفتوح المصدر OpenClaw، والذي يُعرف بـ ClawHub، أصبح تدريجيًا هدفًا جديدًا للمهاجمين لتنفيذ تسميم سلسلة التوريد. نظرًا لافتقار المنصة إلى آلية مراجعة صارمة ومتقنة، تم إدخال عدد كبير من المهارات الخبيثة، واستخدامها لنشر التعليمات البرمجية الخبيثة أو وضع محتوى ضار، مما يهدد أمن المطورين والمستخدمين. وفقًا لتقرير Koi Security، تم تحديد 341 مهارة خبيثة من بين 2,857 مهارة تم فحصها، مما يعكس نمطًا نموذجيًا لـ “تسميم سلسلة التوريد في سوق الإضافات/الملحقات”. نصحت 慢雾 بعدم الاعتماد على قسم “خطوات التثبيت” في SKILL.md كمصدر موثوق، ويجب مراجعة أي أوامر تتطلب النسخ واللصق قبل تنفيذها؛ والحذر من الإشعارات التي تطلب إدخال كلمة مرور النظام/منح صلاحيات المساعدة/إعدادات النظام، فهي غالبًا نقاط تصعيد للمخاطر؛ والأفضل الحصول على الاعتمادات والأدوات من القنوات الرسمية، وتجنب تنفيذ السكريبتات التي تأتي من مصادر غير معروفة.