🚨 OPENCLAW 上排名第一的 AI 技能實際上是惡意軟件。

AI 革命剛剛遭遇了一次災難性的供應鏈攻擊。
1,184 個惡意插件湧入 CLAWHUB 市場。
CLAWHAVOC 行動的崩潰令人震驚：
唯一阻止發布技能的障礙是一個一周前的 GitHub 帳戶。
攻擊者將包裹偽裝成加密機器人、錢包追蹤器和 YouTube 工具上傳。
文件中的完美文檔誘使用戶運行單一終端命令。
該命令在 macOS 上安裝了 Atomic Stealer。
它立即刪除了瀏覽器密碼、SSH 密鑰、加密貨幣錢包以及存放在 .ENV 文件中的所有 API 密鑰。
在其他系統上，它打開了一個反向殼，讓攻擊者擁有完全的 root 控制權。
思科掃描了排名前列的「Elon 會怎麼做？」技能。
它有 9 個漏洞，其中包括 2 個嚴重缺陷。
它利用提示注入來繞過安全規則，並秘密地竊取數據。
這是超級增強版的 NPM 供應鏈噩夢。
現在，惡意軟件甚至可以思考了。