GoPlus：ClawHub 存在下載量造假漏洞，熱門技能可能含有惡意程式碼

ChainCatcher 消息，根據 GoPlus Security 發佈的安全警告，Silverfort 資安研究人員在 OpenClaw 的技能倉庫 ClawHub 發現嚴重漏洞。攻擊者可透過調用內部函數 downloads:increment 規避所有防護機制，僅需一條 curl 請求即可在數分鐘內將下載量刷至 2 萬次以上，藉此將含有惡意代碼的技能推至搜尋排名第一，誘使用戶或 AI Agent 自動安裝。

惡意技能一旦運行，可能竊取加密錢包、API 金鑰等敏感資料。目前該漏洞已於 24 小時內修復完成。GoPlus 提醒用戶，高下載量不代表安全，建議透過 AgentGuard 進行安全掃描與防護。