慢霧：ClawHub 存在后门植入风险，21% 百大技能被列为高危

慢雾科技首席信息安全官 23pds 公開警示，由于 ClawHub 依赖 GitHub 一键登录，蠕虫病毒窃取的开发者凭证可能被用来冒充开发者发布恶意 Skills，发动供应链攻击。与此同时，GoPlus 对 ClawHub 下载量最高的百个 Skills 进行了全量安全扫描，结果显示 21% 高危、17% 需警告。

攻击路径全解析：从 GitHub 凭证到系统入侵的完整链条

慢雾在公告中明确列出了这一潜在攻击的完整路径，帮助开发者和用户理解威胁的实际机制：

凭证窃取：Sha1-Hulud 等蠕虫病毒或钓鱼攻击窃取开发者的 GitHub 登录凭证

获取 GitHub 权限：攻击者使用窃取的凭证登录受害者的 GitHub 账号

冒充开发者登录 ClawHub：由于 ClawHub 采用 GitHub 一键授权，攻击者可直接以合法开发者身份进入平台

发布恶意 Skills：在受害开发者名义下上架包含后门的恶意 Skills，外观上难以与正常 Skills 区分

用户安装执行：不知情的用户下载并执行这些 Skills，触发恶意代码

系统入侵：攻击者获得用户设备的访问权限，可能导致数据窃取、远程控制等严重后果

这一攻击链的危险性在于每个环节都具有较高的隐蔽性，用户几乎无法从外观上判断一个 Skills 是否已被恶意篡改。

GoPlus 扫描结果：百大 Skills 中的安全分布

3 月 12 日，GoPlus 发布了对 ClawHub 高频下载百大 Skills 的安全扫描报告，提供了更为系统的风险量化数据：

21% 被拦截（Blocked）：这些 Skills 存在明确的高风险操作，包括直接的网络穿透行为、敏感 API 调用以及自动发送信息等

17% 被警告（Warning）：具有一定潜在风险，对安全性有较高要求的用户建议谨慎执行

62% 通过审查：剩余的 Skills 在当前扫描维度下未发现明确问题

GoPlus 建议，对于具有高风险操作的 Skills，应强制引入“Human-in-the-Loop（HITL）”人工确认机制，让人工审核介入在关键操作执行之前，而非事后再行补救。

腾讯 SkillHub 争议：大规模抓取引发版权与支持议题

在安全警示升温的同时，ClawHub 生态也因腾讯的做法引发了另一场讨论。腾讯推出了基于 OpenClaw 官方开源生态构建的 SkillHub 社群，定位为面向中国开发者的本地化 Skills 分发平台。然而，OpenClaw 创始人 Peter Steinberger 在获知消息后提出批评，表示他曾收到抱怨邮件，指腾讯抓取了 ClawHub 上的全部 Skills 并导入其平台，且速度之快以至于触发了官方的速率限制。Steinberger 直言：“他们复制了，但没有支持这个项目。”

腾讯 AI 官方随后给予回应，解释 SkillHub 以镜像站形式运营，已在平台上标注了原始来源为 ClawHub，并表示平台的目的是为中国用户提供更稳定快速的访问体验。平台上线首周共处理约 180GB 下载流量（87 万次下载），但实际从官方来源拉取的数据仅约 1GB，并强调腾讯多名团队成员已为相关开源项目贡献了代码，希望继续支持生态发展。

常见问题

使用 ClawHub 的用户应如何保护自己免受恶意 Skills 侵害？

建议采取以下措施：优先安装已通过 GoPlus 等安全机构审查的 Skills；对于要求访问本地文件系统、网络连接或系统 API 的 Skills 保持谨慎；关注 Skills 的下载量和评价，但不能以此作为安全唯一依据；定期更新所用 Skills 并关注平台的安全公告。最重要的是，在执行高风险操作前开启“人工确认（HITL）”功能。

ClawHub 依赖 GitHub 登录是否应改为其他验证方式？

从安全架构角度，单一 OAuth 提供者（如 GitHub）确实形成了单点故障风险——一旦 GitHub 凭证泄露，ClawHub 账号即告陷入。更安全的方案包括：引入多因素验证（MFA）、允许独立账号创建，或对 Skills 发布操作引入额外的人工或机器验证层。这些是平台方需要在开发者信任机制上持续改进的方向。

腾讯 SkillHub 的做法是否违反开源协议？

这取决于 OpenClaw 和 ClawHub 的具体授权条款。SkillHub 援引镜像站和标注原始来源作为合理使用依据，但 Peter Steinberger 的批评更多指向生态支持的道义层面——在使用社区建设成果的同时，缺乏对开源项目的实质贡献或商业支持。这一争议在开源社区中较为普遍，通常需要通过更明确的授权条款和商业合作协议来妥善解决。