慢霧：ClawHub正逐漸成為攻擊者實施供應鏈投毒的新目標

據慢霧監測，開源AI Agent項目OpenClaw的官方插件中心ClawHub正逐漸成為攻擊者實施供應鏈投毒的新目標。由於平台缺乏完善、嚴格的審核機制，已有大量惡意skill混入其中，並被用於傳播惡意代碼或投放有害內容，給開發者和用戶帶來潛在安全風險。根據Koi Security的報告，在對2,857個skills的掃描中識別出341個惡意skills，反映出典型的“插件/擴展市場供應鏈投毒”形態。

慢霧建議，不要把SKILL.md的“安裝步驟”當成可信來源，任何要求復制粘貼執行的命令都應先審計；警惕“需要輸入系統密碼/授予輔助功能/系統設置”的提示，這往往是風險升級點；優先從官方渠道獲取依賴與工具，避免執行來源不明的安裝腳本。