GoPlus中文社区

报告生成日期：2026-03-11
样本范围：ClawHub 下载量 Top 100 Skills（北京时间3月10日18:30）
检测引擎：AgentGuard Skills 安全扫描引擎
扫描目的：评估当前最受欢迎的 AI Agent 技能库的基础安全基线，识别越权、敏感操作及恶意行为特征。
一、 执行摘要
本次安全扫描对 ClawHub 生态中最核心的 100 个高频下载 Skill 进行了全量安全扫描。总体表现如下：
扫描样本总数：100 个成功扫描率：100% (无解析失败或文件缺失)被拦截 (Blocked) 技能数：21 个 (占比 21%)被警告 (Warning) 技能数：17 个 (占比 17%)顺利通过 (Passed) 技能数：62 个 (占比 62%)
核心结论：Top 100 Skills 中占比 21% 具有明确高风险操作（如直接的网络穿透、敏感 API 调用、自动发信等），建议执行这类Skills 时强制加入“Human-in-the-Loop (HITL) 人工确认”机制，对高风险行为进行人工审核；17%的 Skills 具有一定风险，建议谨慎执行，如对安全性有较高要求的用户，建议也加入人工确认。
二、 风险等级分布视图
根据 AgentGuard 规则库，扫描结果被划分为 4 个风险等级，具体分布如下：

三、 高风险 (Critical & High) Skills详析
在本次安全扫描中，共有 21 个Skills因命中严重/高风险规则被直接判定为 Blocked。这些技能主要集中在以下几个高风险业务场景：
1. 无头浏览器与自动化操作 (Browser Automation)
这些 Skills 通常调用 Puppeteer/Playwright 或封装好的 CLI 工具，允许 Agent 随意访问互联网。
涉事技能：agent-browser (Critical), agent-browser-clawdbot (Critical)命中原因：检测到控制无头浏览器进程、执行任意 JS 脚本或进行复杂的 DOM 交互。风险影响：可能被用于 SSRF (服务器端请求伪造)、内网探测、绕过验证码进行恶意爬虫，或触发恶意钓鱼网站的 Payload。
2. 即时通讯与邮件发送 (Communications & Messaging)
直接控制用户的邮件或即时通讯工具发送信息的技能。
涉事技能：agentmail (Critical), whatsapp-business (Critical), imap-smtp-email (Critical), mailchimp (High)命中原因：命中 SMTP/IMAP 协议关键字、检测到群发邮件/消息的 API 端点、以及需要高权限的通讯 Token。风险影响：如果 Agent 遭遇 Prompt Injection 攻击，攻击者可利用这些技能发送垃圾邮件 (Spam)、进行社交工程诈骗，损害用户声誉及触犯隐私合规。
3. 高权限 CRM 与云资源 API (Enterprise API Gateways)
通过代理网关执行企业级 SaaS 的读写操作。
涉事技能：google-workspace-admin (Critical), google-slides (Critical), feishu-evolver-wrapper (Critical), pipedrive-api (High), youtube-api-skill (High), trello-api (High), google-meet (High)命中原因：规则库识别到包含增删改查敏感数据的 REST API 请求结构，以及对外部系统状态的修改能力。风险影响：Agent 可能会直接修改甚至删除企业核心的销售、财务、文件或媒体数据（甚至赋予/剥夺管理员权限）。若缺乏严格的人工确认环节，误操作损失巨大。
4. 深度搜索引擎与爬虫聚合 (Search & Scraping)
具备深度内容抓取和多引擎聚合的工具。
涉事技能：brave-search (High), duckduckgo-search (High), multi-search-engine (High), tavily (High)命中原因：检测到高频的外部网络请求封装、HTML 解析和抓取库的使用。风险影响：除了导致目标网站封禁 IP 外，存在因不安全的网页内容提取（如直接读取未经清洗的 HTML 甚至执行网页内容）引发间接提示词注入 (Indirect Prompt Injection)的风险 。
5. 核心逻辑重写与底层越权 (Self-Modification & Privilege Escalation)
涉及 Agent 行为变异、底层隐藏配置修改或系统级凭证读取的技能。
涉事技能：free-ride (Critical), moltbook-interact (Critical), trello (Critical), evolver (High)命中原因：检测到对系统文件（如 .json 隐藏配置）的写权限请求，可读取本地凭证，或在 Bash 中裸拼接敏感 Token。风险影响：技能可能未经授权修改 Agent 的核心行为准则、绕过既定系统限制，或因命令注入漏洞导致核心 API Key 泄露。
四、 值得关注的中风险 (Medium / Warning) 技能
共有 17 个技能被判定为 Medium。这些技能大多是第三方应用的集成接口，扫描引擎虽然没有直接拦截，但需要注意：
日历与日程类 (caldav-calendar, calendly-api)效率与协同工具 (notion, x-twitter, xero, typeform)微软生态 (microsoft-excel, outlook-graph, outlook-api)部分工具套件 (mcporter, asana-api, clickup-api)
分析：这类 Skills 的特点是“能力本身中性，但携带高价值凭证”。安全扫描识别到它们需要读取用户的访问令牌 (Access Token)，但代码层面未发现明显的恶意破坏逻辑，因此给出了 Warning。然而，一旦 Agent 被“骗取”使用这些Skills，例如被要求“删除我明天所有的日程”或“公开分享这篇 Notion 文档”，同样会造成巨大破坏。
五、 总结与安全建议
本次安全扫描分析出 ClawHub Top 100 下载量 Skills 中约 20% 具有显性的高风险操作，证明了对Skills 进行安全扫描和审查的必要性。
对用户和生态开发者的建议：
优化高风险Skills (Blocked) 的使用体验：不要一刀切禁止。对于 agent-browser、agentmail 等高价值技能，建议在调用前强制加入**“Human-in-the-Loop (HITL) 人工确认”**机制，展示将要发送的具体内容，由用户点击授权后方可执行。强化“间接注入”防护：所有被标记为 High 的搜索类技能，返回给 Agent 的内容必须经过严格的清洗（剥离 HTML 标签、脚本等），防止外部网页投毒。定期安全体检：针对在分析中发现的安全配置盲区，建议将“修改特定配置文件路径（如 AGENTS.md）”、“调用系统桌面控制库”加入高风险行为名单，或直接使用 AgentGuard 安全巡检和Skills安全扫描功能，定期对Agent和Skills进行安全体检。

📌附录：ClawHub Top 100 Skills 安全扫描结果明细
说明：Skill 名称：已内嵌链接，指向 ClawHub 官方页面（标准路径格式）。
简介：提取自各个技能对应 SKILL.md 文件中的 description 字段（部分过长内容已做截断处理）。
处置状态：分为 ✅ 放行 (Passed)、⚠️ 警告 (Warning)、🚫 拦截 (Blocked)。
风险评级：分为 🟢 安全 (Safe)、🟢 低风险 (Low)、🟡 中风险 (Medium)、🟠 高风险 (High)、🔴 严重风险 (Critical)。

Faisons connaissance avec @ShittymikeSol qui se dit Dev de $PNUT, gagnant de $1000 à $18 millions en un mois ! Maintenant, il veut vous rendre riche en direct sur X, première bataille $HNUT facilement 1400 fois ! Mais les graphiques de $HNUT adoptent en fait la posture standard de RUG, quel genre de scandale caché se cache derrière cela ?

Le 29 décembre 2025, il a tweeté : "Après une année de repos, première véritable transaction Alpha, achat de $HNUT pour 500 dollars, en une journée, cela monte à 200 000 dollars, le lendemain, fermeture à un point haut avec un profit de 700 000 dollars, un bénéfice explosif de 1400 fois ! En même temps, il vous invite à copier et à rejoindre sa communauté Telegram dans son profil personnel.

Rapidement, nous avons reçu des retours de la communauté : $HNUT a chuté de 99,99 %, nous avons commencé à enquêter sur l'adresse du Créateur/Dev de $HNUT : 4eqKkKsvHUaYFARg5D3G1c2fsaHxzkvSZUkshusmRWd3, sans découvrir de profits ou de liens.

Un MEME coin né d'une erreur de tweet de @heyibinance, interprété par CZ dans un style de chouchoutage, a atteint une capitalisation maximale de 30 millions de dollars, il ne reste actuellement que 4 millions de dollars, semblant ne pas avoir créé de mythe de richesse dans la communauté, mais GoPlus a découvert un grand gagnant qui a gagné des millions de dollars derrière cela - le Dev/Créateur de #DOYR !
DOYR Créateur : 0x7e043336ed98fb1aef5cae2606b39bc9a3180e68

Créateur a gagné 4200 dollars en émettant $DOYR, achetant d'abord 208,500,000 unités, puis en les vendant rapidement par lots.

Mais ensuite, nous avons découvert que cette adresse avait émis 3333 MEME coins selon ce modèle pendant 187 jours, avec un bénéfice total de plus de 350,000 dollars ! Ce n'est pas fini...

En novembre, les pertes économiques causées par des incidents de sécurité majeurs dans Web3 ont atteint 183 981 395 $. Les types d'incidents de sécurité incluent des vulnérabilités de contrats intelligents, des attaques d'ingénierie sociale, des attaques de phishing, des schémas de Ponzi, des Rugpull, etc.

Exploitation
En novembre, les exploits (y compris les attaques de contrats, la fraude sociale, la divulgation de clés privées, etc.) ont entraîné des pertes de 175 031 395 $ en raison de 15 événements majeurs. Les événements typiques incluent :
Le 3 novembre, Balancer (@Balancer) a été attaqué en raison d'une vulnérabilité dans le calcul des contrats intelligents, entraînant des pertes de plus de 128 millions de dollars, y compris des actifs tels que WETH, osETH et wstETH, probablement de la part de hackers nord-coréens.

Une fête de « réinitialisation de la vie »

Début octobre 2025, un jeton nommé « Binance Life » est apparu discrètement sur la chaîne BSC.
48 heures après son lancement, son nom est apparu dans d'innombrables tweets, discussions de groupe et images de mèmes.
Quatre jours plus tard, sa capitalisation boursière a dépassé 150 millions de dollars,
Un volume d'échange atteignant 410 millions de dollars par jour,
Devenir le premier mème en chinois à être listé sur Binance Alpha.
En seulement 96 heures, d'un tweet à une foule de milliers de personnes,
Une fête de « réinitialisation de la vie sur la chaîne » a officiellement commencé.
L'effet papillon du « copier-coller »
Le point de départ de l'histoire n'est qu'un « copier-coller ».

C'est difficile à répondre, mais j'ai découvert un coin sombre — quelqu'un compte secrètement sur vous pour gagner 100 000 dollars par mois !
Il y a 4 ans, le protagoniste "Xiao Hei" a écrit un contrat de fabrication qui peut pré-calculer et verrouiller l'adresse de déploiement de contrat dans son exploration de l'opcode CREATE2 d'Ethereum, capable de prédire et de générer des adresses de contrat spécifiques selon le "salt".

Dans 4 ans, Xiao Hei capture frénétiquement les tendances sur les réseaux sociaux, déployant en premier lieu des tokens de meme populaires tels que $giggle, jellyjelly, et Hakimi.

Il a perçu une astucieuse "faille psychologique".

Les groupes de phishing exploitent un grand nombre d'adresses ayant des clés privées divulguées pour frauder, et l'intégration avec l'EIP-7702 permet aux groupes de phishing d'obtenir des droits de gestion de compte pour les adresses avec des clés privées divulguées. En même temps, ces adresses appât ont également un riche historique de transactions, ce qui rend les utilisateurs ordinaires susceptibles de baisser leur garde, attirés par le solde des adresses appât, et de transférer des frais de Gas, entraînant ainsi un vol.
Cas un

1. L'adresse 0x000085bad5b016e5448a530cb3d4840d2cfd15bc a déployé plusieurs contrats malveillants Delegator 0x930fcc, 0x1f0733, 0x9eece7 sur ETH.
2. Ensuite, par le biais de l'adresse 0x9d1ff3a11f7791c6bff9399aafd5a4eaffc83efb et de scripts automatisés, de nombreuses adresses ayant des clés privées divulguées sont autorisées à un contrat malveillant Delegator, complétant ainsi la mise en place de l'appât.

L'EIP-7702 confère aux adresses des capacités et de la flexibilité similaires à celles des contrats intelligents, de plus en plus d'applications 7702 continuent d'être créées, ce qui est crucial pour permettre à un plus grand nombre de personnes d'entrer dans le Web3 et d'améliorer l'expérience utilisateur.
Cependant, la flexibilité de 7702 et la situation actuelle où la plupart des utilisateurs ne sont pas encore familiers avec 7702 sont exploitées par des groupes de fraude. Récemment, nous avons observé que des utilisateurs, en raison de la capacité d'exécution de masse de Metamask 7702, ont été victimes de groupes de phishing comme #InfernoDrainer, qui ont combiné des interactions nécessitant normalement plusieurs autorisations en une seule transaction, entraînant le vol d'actifs.
Remarque : MetaMask lui-même n'a pas de problème de sécurité. MetaMask place la sécurité des utilisateurs au premier plan tout en fournissant des capacités relatives à 7702 et a mis en œuvre de nombreuses mesures de sécurité. Les utilisateurs doivent en savoir plus sur les capacités et les risques associés à 7702 pour éviter que ce type d'incident de sécurité ne se reproduise.