深潮 TechFlow のニュースによると、3月26日、GoPlus Security が発表したセキュリティ警告で、Silverfort のセキュリティ研究者が OpenClaw のスキルリポジトリ ClawHub に深刻な脆弱性を発見しました。攻撃者は内部関数 downloads:increment を呼び出すことですべての防護機能を回避でき、たった一つの curl リクエストだけで数分以内にダウンロード数を2万回以上に増やし、悪意のあるコードを含むスキルを検索ランキングのトップに押し上げ、ユーザーや AI エージェントに自動インストールを誘導します。悪意のあるスキルが一旦実行されると、暗号ウォレットやAPIキーなどの機密データを盗むことが可能です。現在、この脆弱性は24時間以内に修正済みです。GoPlus は、ダウンロード数が多いことが安全を保証しないと警告し、AgentGuard を用いたセキュリティスキャンと防御を推奨しています。
GoPlus:ClawHubにはダウンロード数偽造の脆弱性が存在し、人気のスキルには悪意のあるコードが含まれている可能性があります
深潮 TechFlow のニュースによると、3月26日、GoPlus Security が発表したセキュリティ警告で、Silverfort のセキュリティ研究者が OpenClaw のスキルリポジトリ ClawHub に深刻な脆弱性を発見しました。攻撃者は内部関数 downloads:increment を呼び出すことですべての防護機能を回避でき、たった一つの curl リクエストだけで数分以内にダウンロード数を2万回以上に増やし、悪意のあるコードを含むスキルを検索ランキングのトップに押し上げ、ユーザーや AI エージェントに自動インストールを誘導します。
悪意のあるスキルが一旦実行されると、暗号ウォレットやAPIキーなどの機密データを盗むことが可能です。現在、この脆弱性は24時間以内に修正済みです。GoPlus は、ダウンロード数が多いことが安全を保証しないと警告し、AgentGuard を用いたセキュリティスキャンと防御を推奨しています。