SlowMist: ClawHub está a tornar-se progressivamente um novo alvo para os atacantes na implementação de envenenamento de cadeia de abastecimento

PANews 9 de fevereiro de 2024 - De acordo com a monitorização do Slow Fog, o centro oficial de plugins do projeto de IA de código aberto OpenClaw, ClawHub, está a tornar-se progressivamente um novo alvo para atacantes que implementam envenenamento na cadeia de abastecimento. Devido à falta de mecanismos de revisão rigorosos e completos na plataforma, já foram infiltrados numerosos skills maliciosos, utilizados para disseminar código malicioso ou conteúdo prejudicial, colocando em risco a segurança de desenvolvedores e utilizadores. Segundo o relatório da Koi Security, numa análise de 2.857 skills, foram identificados 341 skills maliciosos, refletindo uma forma típica de “envenenamento na cadeia de abastecimento do mercado de plugins/extensões”. O Slow Fog recomenda que não se considere o “passo a passo” do SKILL.md como uma fonte confiável; qualquer comando que exija cópia e colagem para execução deve ser previamente auditado; esteja atento a mensagens que solicitam “introdução de senha do sistema/atribuição de funcionalidades auxiliares/configurações do sistema”, pois estas costumam ser pontos de aumento de risco; priorize a obtenção de dependências e ferramentas através de canais oficiais, evitando executar scripts de instalação de origem desconhecida.