GoPlus：ClawHubにはダウンロード数の偽造脆弱性が存在し、人気のスキルには悪意のあるコードが含まれている可能性があります。

GoPlus Security が発表したセキュリティ警告によると、Silverfort のセキュリティ研究者は OpenClaw のスキルリポジトリ ClawHub に深刻な脆弱性を発見しました。攻撃者は内部関数 downloads:increment を呼び出すことで、すべての防御機構を回避し、単一の curl リクエストで数分以内にダウンロード数を 2 万回以上に増やすことができ、悪意のあるコードを含むスキルを検索ランキングの第一位に押し上げ、ユーザーや AI エージェントに自動的にインストールさせることができます。

悪意のあるスキルが実行されると、暗号財布や API キーなどの敏感なデータを盗むことができます。現在、この脆弱性は 24 時間以内に修正されました。GoPlus はユーザーに対し、高いダウンロード数が安全を意味するわけではないと警告し、AgentGuard を使用して安全スキャンと防御を行うことを推奨しています。