GoPlus : ClawHub présente une vulnérabilité de falsification du nombre de téléchargements, et les compétences populaires peuvent contenir du code malveillant.

Chaincatcher2026/03/26 11:30

Afficher le texte d'origine

Bitget propose un service de trading tout-en-un de cryptomonnaies, d'actions et d'or. Tradez dès maintenant !

Pack cadeau de 6200 USDT pour les nouveaux utilisateurs ! Inscrivez-vous dès maintenant !

Selon ChainCatcher, et d'après une alerte de sécurité publiée par GoPlus Security, des chercheurs en sécurité de Silverfort ont découvert une vulnérabilité critique dans le référentiel de compétences ClawHub d’OpenClaw. Un attaquant pouvait contourner tous les mécanismes de protection en appelant la fonction interne downloads:increment et, avec une simple requête curl, augmenter le nombre de téléchargements à plus de 20 000 en quelques minutes, plaçant ainsi une compétence malveillante en tête du classement des recherches pour inciter les utilisateurs ou un AI Agent à l’installer automatiquement.

Une fois la compétence malveillante exécutée, elle peut dérober des informations sensibles telles que des portefeuilles de cryptomonnaies ou des clés API. Cette vulnérabilité a été corrigée en moins de 24 heures. GoPlus rappelle que volume élevé de téléchargements ne signifie pas sécurité et recommande d’utiliser AgentGuard pour l’analyse et la protection.

Avertissement : le contenu de cet article reflète uniquement le point de vue de l'auteur et ne représente en aucun cas la plateforme. Cet article n'est pas destiné à servir de référence pour prendre des décisions d'investissement.

PoolX : Bloquez vos actifs pour gagner de nouveaux tokens

Jusqu'à 12% d'APR. Gagnez plus d'airdrops en bloquant davantage.

Bloquez maintenant !