OpenClaw (前稱 Moltbot 和 ClawdBot) 爆發多達 230 款技能軟體包存在惡意的行為,這些軟體包偽裝成合法工具用來散播惡意軟體,並竊取機密機訊,例如 API 金鑰、錢包私鑰、SSH 憑證和瀏覽器密碼。
該專案原名 ClawdBot,後來改為 Moltbot 和 OpenClaw (現稱),這是一款開放程式碼的 AI 助手工具,它可以透過使用者常用的管道(WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、iMessage、Microsoft Teams、WebChat)以及 BlueBubbles、Matrix、Zalo 和 Zalo Personal 等擴充管道為使用者提供協助。
OpenClaw 支援 macOS/iOS/Android 系統,並可渲染由使用者控制的即時 Canvas 介面。
安全研究員 Jamieson O'Reilly 指出,公共網路上揭露了數百個配置錯誤的 OpenClaw 管理介面,可能會帶來安全風險。而在 1 月 27 日至 2 月 1 日期間,兩組共超過 230 個惡意技能軟體包被發佈到 ClawHub(該助手的官方註冊表)和 GitHub 上,這些偽裝的軟體包部分已開始廣為流傳,需要多加注意。
技能軟體包掃描: https://clawdex.koi.security
Picture Source
openclaw.ai
留言
張貼留言