GoPlus: ClawHub presenta una vulnerabilità di manipolazione del numero di download; le skill popolari potrebbero contenere codice dannoso

Secondo quanto riportato da ChainCatcher, in base a un avviso di sicurezza pubblicato da GoPlus Security, i ricercatori di sicurezza di Silverfort hanno individuato una grave vulnerabilità nel repository di skill ClawHub di OpenClaw. Un attaccante potrebbe eludere tutti i meccanismi di protezione chiamando la funzione interna downloads:increment, riuscendo con una semplice richiesta curl a incrementare il numero di download a oltre 20.000 in pochi minuti. Questo consentirebbe di portare una skill contenente codice dannoso al primo posto nei risultati di ricerca, inducendo utenti o AI Agent a installarla automaticamente.

Una volta eseguita, una skill malevola potrebbe rubare dati sensibili come wallet crypto e chiavi API. Al momento, questa vulnerabilità è già stata corretta nell’arco di 24 ore. GoPlus avverte gli utenti che un alto numero di download non equivale a sicurezza e consiglia di utilizzare AgentGuard per la scansione e la protezione.