GoPlus：ClawHub 存在下载量伪造漏洞，热门技能或含恶意代码

duoyisme

据 GoPlus Security 发布的安全警告，Silverfort 安全研究人员在 OpenClaw 的技能仓库 ClawHub 中发现严重漏洞。攻击者可通过调用内部函数 downloads:increment 绕过所有防护机制，仅凭一条 curl 请求即可将下载量在数分钟内刷至 2 万次以上，从而将含恶意代码的技能推至搜索排名第一，诱导用户或 AI Agent 自动安装。

恶意技能一旦运行，可窃取加密钱包、API 密钥等敏感数据。目前该漏洞已在 24 小时内完成修复。GoPlus 提示用户，高下载量不等于安全，建议使用 AgentGuard 进行安全扫描与防护。

我要赚钱

这个也是可以看看的了

567

下载量造假真离谱，这波操作太骚了

567

我要赚钱 发表于 2026-3-26 19:53
这个也是可以看看的了

这事儿确实得留意下

小菜鸟

刷下载量就能上榜首，这漏洞也太离谱了

小菜鸟

我要赚钱 发表于 2026-3-26 19:53
这个也是可以看看的了

这种伪造下载量的手法确实得留个心眼

567

小菜鸟 发表于 2026-3-27 13:44
这种伪造下载量的手法确实得留个心眼

下载量水太深，真得盯紧点

小菜鸟

567 发表于 2026-3-27 16:11
下载量水太深，真得盯紧点

数据造假防不胜防，得擦亮眼睛