哇哦。这简直难以置信。这位白帽黑客给那些急于求成的AI开发者敲响了警钟。 Jamieson 构建了一个带有后门的 Claude 技能，并将其在 ClawdHub 上以 4000 多次虚假下载量推至榜首，然后眼睁睁地看着来自世界各地的开发者执行了这段可能恶意运行的代码，并获得了对……所有资源的直接访问权限。 SSH 密钥、AWS 凭证、.env 文件，等等等等。幸好他只是 ping 了一下服务器，确认了攻击成功。 这简直是 AI 时代的供应链安全入门速成课。如果你正在使用 AI 代理进行开发，请立即停止手头的工作，并阅读这篇帖子。 此外，请务必阅读 Clawdbot 的安全文档，并定期运行 `clawdbot doctor` 命令。注意安全 ✌️ twitter.com/LLMJunky/status/20...