🚨 كانت المهارة رقم 1 في OPENCLAW حرفياً برمجية خبيثة.

واجهت ثورة الذكاء الاصطناعي هجوماً كارثياً على سلسلة التوريد.
تدفقت 1,184 إضافة خبيثة إلى سوق CLAWHUB.
التحليل لحملة CLAWHAVOC كان مروعاً:
الحاجز الوحيد لنشر مهارة كان حساب GitHub عمره أسبوع واحد فقط.
قام المهاجمون بتحميل حزم مخفية على أنها بوتات تشفير، متتبعات المحافظ، وأدوات يوتيوب.
التوثيق المثالي في الملفات خدع المستخدمين لتشغيل أمر طرفي واحد.
هذا الأمر أسقط أداة سرقة البيانات على macOS.
فوراً، قام بمسح كلمات مرور المتصفح، مفاتيح SSH، محافظ العملات الرقمية، وكل مفاتيح API الموجودة في ملفات .ENV الخاصة بك.
على أنظمة أخرى، فتح قشرة عكسية تمنح المهاجم السيطرة الكاملة على الجذر.
قامت Cisco بفحص المهارة الأعلى تصنيفاً "ماذا سيفعل إيلون؟".
كانت تحتوي على 9 ثغرات، بما في ذلك ثغرتان حرجتان.
استخدم حقن المطالبات لتجاوز قواعد الأمان وتسريب البيانات بصمت.
هذه كابوس سلسلة التوريد على npm بشكل مضاعف.
لكن الآن، يمكن للبرمجية الخبيثة أن تفكر فعلاً.