TechFlowからの報道によると、3月26日、GoPlus Securityが発表したセキュリティ警告によれば、Silverfortのセキュリティ研究者が、OpenClawのスキルリポジトリ「ClawHub」において重大な脆弱性を発見しました。攻撃者は内部関数「downloads:increment」を呼び出すことで、すべての保護メカニズムを回避でき、単一のcurlリクエストのみで数分以内にダウンロード回数を2万回以上にまで不正増加させることができます。これにより、悪意あるコードを含むスキルが検索結果のトップに表示され、ユーザーまたはAIエージェントによる自動インストールを誘導することが可能です。
この悪意あるスキルが実行されると、暗号化ウォレットやAPIキーなどの機密データが窃取されるおそれがあります。現在、本脆弱性は24時間以内に修正済みです。GoPlusでは、ユーザーに対し、「ダウンロード数が多い=安全」という誤解を避けるよう注意喚起しており、AgentGuardを用いたセキュリティスキャンおよび保護を推奨しています。
お気に入りに追加
SNSで共有
