Gate News からの報告によると、3月26日にGoPlus Securityがセキュリティ警告を発表しました。Silverfortのセキュリティ研究者がOpenClawのスキルリポジトリClawHubに深刻な脆弱性を発見しました。攻撃者は内部関数downloads:incrementを呼び出すことで防御メカニズムを回避でき、たった一つのcurlリクエストで数分以内にダウンロード数を2万回以上に増やし、悪意のあるコードを含むスキルを検索ランキングのトップに押し上げ、ユーザーやAIエージェントに自動インストールさせることが可能です。悪意のあるスキルが実行されると、暗号通貨ウォレットやAPIキーなどの機密データを盗むことができます。この脆弱性は24時間以内に修正されました。GoPlusは、高ダウンロード数が安全性を保証しないことを指摘し、AgentGuardによるセキュリティスキャンと防御を推奨しています。
