OpenClaw 攻擊：一千一百個惡意插件致十三萬五千用戶面臨加密貨幣竊盜風險

研究人員發現逾一千一百個惡意插件

安全研究人員發現了一次針對 OpenClaw 的 AI 代理插件市場 ClawHub 的重大供應鏈攻擊。調查揭示了一千一百八十四個旨在損害使用者系統的惡意軟體包，即「技能」。一名威脅行為者負責上傳了其中六百七十七個惡意插件，這表明了一場有協調、大規模的行動，旨在滲透 OpenClaw 生態系統。

逾十三萬五千個實例面臨資產竊盜風險

此次攻擊使超過十三萬五千個公開暴露的 OpenClaw 實例直接面臨數據外洩風險。這些惡意技能被設計用來竊取高度敏感的使用者資訊，包括私有 SSH 密鑰、加密貨幣錢包文件和儲存的瀏覽器密碼。這為受影響使用者帶來了重大的直接經濟損失威脅，因為受損的加密錢包可能被清空其數位資產。

攻擊引發對 AI 插件安全性的審查

預計此次事件將嚴重損害使用者對 OpenClaw 平台及其 ClawHub 市場的信任。除了對當前平台的影響，此次攻擊也凸顯了快速增長的 AI 代理及其第三方插件市場生態系統中普遍存在的漏洞。此次事件可能會促使業界對插件的安全審查流程進行更廣泛的審視，因為各平台正爭相防止類似的供應鏈攻擊，以避免動搖 AI 代理技術的普及。