GoPlus：ClawHubにはダウンロード数の偽造脆弱性が存在し、人気スキルには悪意のあるコードが含まれている可能性があります

ChainCatcherの報道によると、GoPlus Securityが発表したセキュリティ警告において、Silverfortのセキュリティ研究者がOpenClawのスキルリポジトリClawHubで重大な脆弱性を発見しました。攻撃者は内部関数downloads:incrementを呼び出すことで全ての防御機構を回避でき、curlリクエスト1つだけでダウンロード数を数分で2万回以上に増やすことが可能です。これにより悪意のあるコードを含むスキルを検索ランキングの1位に押し上げ、ユーザーやAI Agentに自動インストールを誘導する危険があります。

悪意のあるスキルが実行されると、暗号ウォレットやAPIキーなどの機密データが盗まれる恐れがあります。現在、この脆弱性は24時間以内に修正済みです。GoPlusはユーザーに対して、「ダウンロード数が多い＝安全」とは限らないため、AgentGuardを利用したセキュリティスキャンや保護を推奨しています。