Recientemente, el equipo de seguridad de Mist ha emitido un aviso: el centro de plugins oficial ClawHub del proyecto OpenClaw de IA de código abierto está siendo cada vez más atacado, convirtiéndose en un nuevo objetivo de envenenamiento de la cadena de suministro.
En pocas palabras: si los plugins no son seguros, quienes los utilizan también se verán afectados.
El problema principal radica en la falta de rigurosidad en la revisión. ClawHub, como la plataforma oficial de habilidades / plugins, actualmente carece de un mecanismo de chequeo de seguridad completo, lo que ha llevado a que varias habilidades maliciosas se hayan infiltrado. Estas habilidades pueden llegar a insertar código malicioso, dejar puertas traseras e incluso difundir contenido dañino. Una vez que los desarrolladores utilizan estas habilidades en sus proyectos, el riesgo se amplifica capa tras capa, afectando finalmente a los usuarios.
El informe de la empresa de seguridad Koi Security también confirma esto: escanearon 2,857 skills y encontraron que 341 eran maliciosos. Esto ya no es un caso aislado, sino una situación muy típica: los atacantes tienden a atacar el mercado de extensiones, porque al contaminar una entrada, pueden afectar a un gran número de personas.
SlowFog también ha proporcionado algunos consejos de seguridad muy prácticos que los desarrolladores comunes deben recordar:
No confíes ciegamente en las instrucciones de instalación de SKILL.md, especialmente en aquellas que te piden copiar, pegar y ejecutar comandos directamente; asegúrate de entender bien lo que estás haciendo antes de ejecutarlos.
Cualquier operación que requiera ingresar la contraseña del sistema, habilitar funciones de asistencia o modificar la configuración del sistema debe ser tratada con alta precaución, ya que a menudo es el comienzo de una escalada de riesgos.
Intente obtener dependencias y herramientas de fuentes oficiales o confiables, no ejecute scripts de instalación de origen desconocido sin cuidado.
En la actualidad, cuando hay cada vez más herramientas y extensiones de IA, 'conveniente' no significa 'seguro'. La situación de ClawHub nos recuerda que el verdadero peligro a menudo no es el código en sí, sino la extensión en la que confías incorrectamente.
En resumen:
Las extensiones se instalan rápidamente, pero los riesgos también aparecen rápidamente; observar con más atención podría evitar caer en un error.
