Gate News 消息,3 月 13 日,慢雾科技首席信息安全官 23pds 发布安全预警,提醒 ClawHub 开发者注意钓鱼和凭据泄露风险。目前 ClawHub 依赖开发者 GitHub 一键登录,此前 Sha1-Hulud 蠕虫曾窃取大量开发者的 GitHub 凭据,攻击者可能会伺机攻击 Skills。攻击路径为:凭证窃取 → 攻击者获取 GitHub 权限 → 以开发者身份登录 ClawHub → 发布恶意 Skills 植入后门 → 用户下载安装后执行恶意代码导致系统入侵。
