SlowMist: ClawHub se está convirtiendo gradualmente en un nuevo objetivo para que los atacantes lleven a cabo envenenamiento de la cadena de suministro

PANews 9 de febrero: Según monitoreo de Slow Fog, el centro oficial de plugins del proyecto de AI open source Agent OpenClaw, ClawHub, está convirtiéndose gradualmente en un nuevo objetivo para que los atacantes implementen envenenamiento en la cadena de suministro. Debido a la falta de mecanismos de revisión completos y estrictos en la plataforma, ya se han infiltrado una gran cantidad de habilidades maliciosas, que se utilizan para propagar código malicioso o contenido dañino, lo que genera riesgos potenciales de seguridad para desarrolladores y usuarios. Según el informe de Koi Security, en un escaneo de 2,857 skills, se identificaron 341 skills maliciosas, reflejando una forma típica de “envenenamiento en la cadena de suministro del mercado de plugins/extensiones”. Slow Fog recomienda no considerar la sección “Pasos de instalación” en SKILL.md como una fuente confiable, cualquier comando que requiera copiar y pegar para ejecutar debe ser auditado previamente; estar atento a las advertencias de “necesita ingresar la contraseña del sistema / otorgar funciones auxiliares / configuraciones del sistema”, ya que esto suele ser un punto de riesgo; priorizar la obtención de dependencias y herramientas desde canales oficiales, y evitar ejecutar scripts de instalación de fuentes desconocidas.