在近期安全调查中，研究人员在 OpenClaw 的 ClawHub 市场中发现 1184 个恶意技能，引发了 AI 代理

tealive

在近期安全调查中，研究人员在 OpenClaw 的 ClawHub 市场中发现 1184 个恶意技能，引发了 AI 代理生态的重大安全担忧。
这些恶意技能可以窃取 SSH 密钥、加密钱包信息、浏览器密码，甚至还能开启反向 shell，让攻击者远程控制用户系统。更夸张的是，仅一名攻击者就上传了 677 个恶意软件包。排名第一的技能甚至存在 9 个漏洞，但下载量却高达数千次，这说明大量用户在毫不知情的情况下已经面临风险。
真正令人担忧的，是当前 AI 代理的供应链安全水平，几乎还停留在早期 npm 生态 2018 年左右的阶段 —— 审核不足、信任机制薄弱、恶意代码容易传播。一旦 AI 代理被污染，影响范围可能远超传统软件，因为 AI 可以自动执行任务、访问数据甚至管理资产。
AI 代理经济正在快速发展，但安全问题不能被忽视。如果市场缺乏严格审核机制，恶意技能可能持续扩散，影响整个行业的信任基础。
未来 AI 生态要真正走向大规模应用，必须优先建立更严格的安全标准、工具审核机制，以及更可靠的供应链防护体系。否则，AI 带来的便利越大，潜在风险也会越大。

#OpenClaw创始人加入OpenAI $BNB