GoPlus: توجد ثغرة تزوير في عدد التحميلات في ClawHub، وقد تحتوي المهارات الشائعة على شفرة خبيثة.

أفاد ChainCatcher، وفقًا لتحذير أمني صادر عن GoPlus Security، أن باحثي الأمان في Silverfort اكتشفوا ثغرة خطيرة في مستودع مهارات OpenClaw المعروف باسم ClawHub. يمكن للمهاجمين تجاوز جميع آليات الحماية عن طريق استدعاء الدالة الداخلية downloads:increment، بحيث يكفي إرسال طلب curl واحد لزيادة عدد مرات التحميل إلى أكثر من 20 ألف مرة خلال عدة دقائق، مما يمكّن من دفع مهارة تحتوي على شفرة خبيثة إلى صدارة نتائج البحث، وإغراء المستخدمين أو عملاء الذكاء الاصطناعي بالقيام بالتثبيت التلقائي.

وفور تشغيل المهارة الخبيثة، يمكنها سرقة محافظ العملات المشفرة ومفاتيح API وغيرها من البيانات الحساسة. تم إصلاح هذه الثغرة خلال 24 ساعة. وتُشير GoPlus إلى أن العدد الكبير لمرات التحميل لا يعني بالضرورة الأمان، وتوصي باستخدام AgentGuard لإجراء الفحص والحماية الأمنية.