🚨注意風險丨OpenClaw 插件中心遭遇大規模供應鏈投毒攻擊 據慢霧 @SlowMist_Team 監測，由於 ClawHub 平臺缺乏嚴格審核機制，大量惡意 Skills 已滲透用於傳播惡意代碼。 目前已有 341 個惡意 Skills 被識別，這些 Skills 通常偽裝成加密資產、安全檢查或自動化工具。 攻擊者利用 http:/SKILL.md 文件作為執行指令入口，通過 Base64 編碼隱藏惡意命令，採用兩階段加載機制逃避檢測。 第一階段通過 curl 獲取載荷，第二階段部署名為 dyrtvwjfveyxjf23 的樣本，以誘騙用戶輸入系統密碼並竊取本地文檔及系統信息。 慢霧建議用戶審核任何需複製執行的命令，警惕獲取系統權限的提示，並優先通過官方渠道獲取工具。 #OpenClaw