慢雾：ClawHub secara bertahap menjadi target baru bagi para penyerang dalam melakukan serangan penyusupan rantai pasokan.

PANews 9 Februari, menurut pemantauan dari Slow Fog, pusat plugin resmi proyek AI Agent sumber terbuka OpenClaw, ClawHub, secara bertahap menjadi target baru bagi penyerang dalam melakukan racun rantai pasokan. Karena platform kurang memiliki mekanisme peninjauan yang lengkap dan ketat, banyak skill berbahaya telah tercampur di dalamnya dan digunakan untuk menyebarkan kode berbahaya atau menampilkan konten berbahaya, yang membawa risiko keamanan potensial bagi pengembang dan pengguna. Berdasarkan laporan dari Koi Security, dalam pemindaian terhadap 2.857 skills, teridentifikasi 341 skills berbahaya, mencerminkan pola umum “racun rantai pasokan pasar plugin/ekstensi”. Slow Fog menyarankan, jangan menganggap “Langkah Instalasi” di SKILL.md sebagai sumber yang dapat dipercaya, setiap perintah yang meminta salin-tempel untuk dieksekusi harus diaudit terlebih dahulu; waspadai pesan “memerlukan input password sistem/beri izin akses bantuan/ pengaturan sistem”, karena ini sering menjadi titik peningkatan risiko; utamakan mendapatkan dependensi dan alat dari saluran resmi, hindari menjalankan skrip instalasi dari sumber yang tidak dikenal.