Đăng nhập/ Đăng ký

ETH Gas

Gwei

Sợ hãi

Chuyên sâu báo cáo Web3

Tôi muốn đăng bài

Yêu cầu phỏng vấn

Theo dõi chúng tôi

Cảnh báo rủi ro: mọi nội dung trên website này không cấu thành tư vấn đầu tư và chúng tôi không cung cấp bất kỳ dịch vụ tín hiệu hay dẫn dắt giao dịch nào. Theo thông báo của PBoC và 10 bộ ngành về việc tăng cường phòng ngừa rủi ro đầu cơ tiền mã hóa, xin hãy nâng cao ý thức rủi ro. Liên hệ: support@techflowpost.com Mã ICP: 琼ICP备2022009338号

Tin từ TechFlow, ngày 20 tháng 2: Theo nguồn Awesome Agents, các nhà nghiên cứu an ninh đã phát hiện một cuộc tấn công chuỗi cung ứng nghiêm trọng nhắm vào thị trường plugin ClawHub của OpenClaw, với tổng cộng 1.184 skill độc hại đã được xác nhận. Các skill độc hại này có khả năng đánh cắp khóa SSH, ví tiền điện tử, mật khẩu trình duyệt và mở shell ngược.

Kết quả nghiên cứu cho thấy một tác nhân tấn công duy nhất đã tải lên 677 gói độc hại, chiếm 57% trong tổng số các skill độc hại được liệt kê. 36,8% số skill trên ClawHub có ít nhất một lỗ hổng bảo mật, và trên toàn cầu có hơn 135.000 phiên bản OpenClaw bị phơi nhiễm tại 82 quốc gia.

Skill độc hại phổ biến nhất mang tên “What Would Elon Do” được phát hiện chứa tới 9 lỗ hổng, trong đó có 2 lỗ hổng mức độ nghiêm trọng; skill này đã đạt vị trí đầu bảng nhờ 4.000 lượt tải giả mạo. Các skill độc hại chủ yếu khai thác kỹ thuật xã hội học “ClickFix” và tấn công tiêm nhiễm lời nhắc (prompt injection) nhằm đồng thời nhắm vào người dùng và các đại lý AI.

OpenClaw hiện đã hợp tác với VirusTotal để quét toàn bộ các skill và loại bỏ danh sách các skill độc hại. Các chuyên gia an ninh khuyến nghị người dùng từng sử dụng skill từ ClawHub nên đổi toàn bộ thông tin xác thực, thu hồi các khóa API và kiểm tra lại các thiết lập bảo mật.

Liên kết gốc

Thêm vào mục ưa thích

Chia sẻ lên mạng xã hội

Tin nhanh 7x24h

05:19 20/2

Phát hành đầu tiên

Phân tích viên Bloomberg: Quỹ ETF Bitcoin thu hút dòng tiền ròng 53 tỷ USD trong hai năm, tác động từ Phố Wall tiếp tục mang tính tích cực

05:18 20/2

Bithumb sẽ niêm yết cặp giao dịch AZTEC/KRW

05:01 20/2

Upbit sẽ niêm yết các cặp giao dịch AZTEC/KRW, AZTEC/BTC và AZTEC/USDT

04:54 20/2

Huobi HTX sẽ niêm yết HYPE (Hyperliquid) vào lúc 20:00 hôm nay

Tuyển chọn TechFlow

7x24hTin nhanh

ClawHub chứa hơn 1.100 skill độc hại, có khả năng đánh cắp khóa SSH, ví tiền điện tử và mật khẩu trình duyệt

2026.02.20 - 03:41

Chia sẻ đến

7x24h Tin nhanh

ClawHub chứa hơn 1.100 skill độc hại, có khả năng đánh cắp khóa SSH, ví tiền điện tử và mật khẩu trình duyệt

Theo Awesome Agents, các nhà nghiên cứu an ninh đã phát hiện một cuộc tấn công chuỗi cung ứng nghiêm trọng nhắm vào thị trường plugin ClawHub của OpenClaw, với tổng cộng 1.184 skill độc hại đã được xác nhận. Các skill độc hại này có khả năng đánh cắp khóa SSH, ví tiền điện tử, mật khẩu trình duyệt và mở reverse shell. Nghiên cứu cho thấy một kẻ tấn công duy nhất đã tải lên 677 gói độc hại, chiếm 57% trong tổng số các skill độc hại được liệt kê. 36,8% số skill trên ClawHub có ít nhất một lỗ hổng bảo mật, và hơn 135.000 phiên bản OpenClaw bị phơi nhiễm tại 82 quốc gia trên toàn cầu. Skill độc hại phổ biến nhất mang tên “What Would Elon Do” được phát hiện chứa 9 lỗ hổng, trong đó có 2 lỗ hổng mức độ nghiêm trọng cao; skill này đạt vị trí đầu bảng nhờ 4.000 lượt tải giả mạo. Những skill độc hại này chủ yếu khai thác kỹ thuật xã hội học “ClickFix” và tấn công tiêm lệnh (prompt injection) nhằm đồng thời nhắm vào người dùng và các agent AI. OpenClaw đã hợp tác với VirusTotal để quét toàn bộ các skill và loại bỏ các skill độc hại khỏi danh sách. Các chuyên gia an ninh khuyến nghị người dùng từng sử dụng skill từ ClawHub nên thay đổi toàn bộ thông tin đăng nhập, thu hồi các khóa API và kiểm tra lại các thiết lập bảo mật.

2026.02.20 - 03:41:14

Chuyên sâu báo cáo Web3