GoPlus: ClawHub có lỗ hổng giả mạo lượt tải xuống, các kỹ năng phổ biến có thể chứa mã độc

Chaincatcher2026/03/26 11:30

Hiển thị bản gốc

Bitget cung cấp dịch vụ giao dịch toàn diện cho tiền điện tử, cổ phiếu và vàng. Giao dịch ngay!

Gói quà chào mừng trị giá 6.200 USDT dành cho người dùng mới! Đăng ký ngay!

Theo tin tức từ ChainCatcher, dựa trên cảnh báo bảo mật do GoPlus Security phát hành, các nhà nghiên cứu bảo mật của Silverfort đã phát hiện ra lỗ hổng nghiêm trọng trong kho kỹ năng ClawHub của OpenClaw. Kẻ tấn công có thể vượt qua mọi cơ chế bảo vệ bằng cách gọi hàm nội bộ downloads:increment, chỉ với một lệnh curl duy nhất có thể tăng số lượt tải xuống lên hơn 20 nghìn lần trong vài phút, từ đó đẩy kỹ năng chứa mã độc lên vị trí đầu tiên trong kết quả tìm kiếm, dụ người dùng hoặc AI Agent tự động cài đặt.

Khi kỹ năng độc hại được thực thi, nó có thể đánh cắp dữ liệu nhạy cảm như ví crypto, khóa API, v.v. Hiện tại, lỗ hổng này đã được khắc phục trong vòng 24 giờ. GoPlus khuyến cáo người dùng rằng số lượt tải cao không đồng nghĩa với việc an toàn, và nên sử dụng AgentGuard để quét và bảo vệ an ninh.

Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.

PoolX: Khóa để nhận token mới.

APR lên đến 12%. Luôn hoạt động, luôn nhận airdrop.

Khóa ngay!