最近有關於OpenClaw的ClawHub插件市場的消息令人相當擔憂。安全研究人員成功識別出超過1,184個危險技能在那裡流傳——對於一個市場來說，這個數字相當龐大。

最令人擔憂的是攻擊規模。一名單獨的攻擊者成功上傳了677個惡意套件，這意味著幾乎57%的惡意技能都來自同一來源。他們針對SSH金鑰、加密貨幣錢包、瀏覽器密碼，甚至能打開反向殼。基本上，如果你擁有這個平台的技能，敏感資料可能會直接被曝光。

數據顯示，36.8%的ClawHub技能至少存在一個漏洞。更瘋狂的是，全球82個國家有超過135,000個OpenClaw實例是開放的。這代表很多人可能已經暴露在潛在風險中。

下載量最高的技能是「What Would Elon Do」——這是最危險的，擁有9個漏洞，其中2個是關鍵等級。這個技能已經被偽造了4,000次下載，排名升至第一。它們主要針對用戶和AI代理，使用ClickFix社交工程和提示注入攻擊技術。

幸運的是，OpenClaw已與VirusTotal合作，掃描所有技能並清除惡意名單。但如果你曾經使用過ClawHub，請不要放鬆——更換所有憑證，撤銷API金鑰，並檢查安全設置。這真的需要特別注意，尤其是對加密貨幣錢包的安全。