Recent, echipa de securitate Slow Mist a emis un avertisment: centrul oficial de pluginuri ClawHub al proiectului open source AI Agent OpenClaw este din ce în ce mai vizat de atacatori, devenind o nouă țintă pentru contaminarea lanțului de aprovizionare.
Pe scurt: pluginurile sunt nesigure, iar cei care le folosesc vor fi afectați împreună.
Problema principală este că revizuirea nu este strictă. ClawHub, ca platformă oficială de concentrat skills / pluginuri, lipsește un mecanism de verificare a securității bine definit, ceea ce a dus la amestecarea multor skills malițioase. Aceste abilități pot introduce în secret cod malițios, pot lăsa uși de acces și chiar pot răspândi conținut dăunător. Odată ce dezvoltatorii folosesc aceste skills în proiectele lor, riscul se amplifică treptat, afectând în cele din urmă utilizatorii.
Raportul companiei de securitate Koi Security confirmă acest lucru: au scanat 2.857 de competențe și au descoperit că 341 erau malițioase. Aceasta nu este o situație singulară, ci un caz foarte tipic - atacatorii vizează în special piața pluginurilor, deoarece poluând un singur punct de intrare, pot afecta un număr mare de oameni.
SlowMist a oferit câteva sfaturi utile de securitate, pe care orice dezvoltator obișnuit ar trebui să le țină minte:
Nu credeți orbește instrucțiunile de instalare din SKILL.md, mai ales cele care vă cer să copiați, lipiți și executați comenzi; înainte de a le executa, asigurați-vă că știți exact ce faceți.
Orice operațiune care solicită introducerea parolei de sistem, activarea funcțiilor de asistență sau modificarea setărilor de sistem trebuie să fie tratată cu mare precauție, deoarece acestea sunt adesea începutul unei escaladări a riscurilor.
Încercați să obțineți dependențele și instrumentele din surse oficiale sau de încredere, nu rulați scripturi de instalare necunoscute.
Într-o lume în care instrumentele și pluginurile AI devin din ce în ce mai numeroase, „convenabil” nu înseamnă „sigur”. Situația ClawHub ne amintește că adevărata pericol nu este codul în sine, ci acel plugin în care ai avut încredere greșit.
Pe scurt:
Pluginurile se instalează rapid, dar riscurile apar la fel de repede; un singur ochi în plus poate să vă salveze de o capcană.
