我刚刚得知关于OpenClaw的技能市场ClawHub的一些相当令人担忧的事情。Awesome Agents的研究人员发现，该平台遭受了一次大规模的供应链攻击，确认有多达1,184个恶意技能。我们说的是一个攻击者成功上传了677个恶意包，占总污染的57%。

最引人注意的是问题的规模。超过135,000个OpenClaw的暴露实例散布在82个国家。而且如果这还不够，ClawHub上可用的技能中有36.8%至少存在一个安全漏洞。这不是小事。

这些恶意技能被设计用来几乎窃取所有内容：SSH密钥、加密货币钱包、浏览器密码，甚至激活反向Shell。它们利用社会工程技术，如ClickFix和提示注入，来欺骗用户和AI代理。

最著名的案例是名为“你会怎么做Elon”的技能，它以4,000次虚假下载登顶。结果发现它有9个漏洞，其中两个是关键漏洞。相当令人不安，真的。

好消息是OpenClaw反应迅速，并与VirusTotal合作扫描了平台上的所有技能。VirusTotal在识别和验证这些威胁的规模方面发挥了关键作用。他们也在系统性地删除恶意列表。

如果你使用了ClawHub的任何技能，专家建议你不要再等待：更改所有凭据，撤销API密钥，并检查你的安全设置。这不是偏执，这是基本的预防措施。VirusTotal和其他安全分析工具可以帮助你验证系统是否被入侵。现在是时候检查你安装了什么，以及你从哪里获取的。