PANewsは2月9日、SlowMistのモニタリング結果によると、オープンソースAIエージェントプロジェクトOpenClawの公式プラグインセンターであるClawHubが、攻撃者によるサプライチェーンポイズニングの新たな標的になりつつあると報じました。プラットフォームには堅牢かつ厳格な審査メカニズムがないため、多数の悪意のあるスキルが侵入し、悪意のあるコードの拡散や有害なコンテンツの配信に利用され、開発者やユーザーに潜在的なセキュリティリスクをもたらしています。Koi Securityのレポートによると、2,857件のスキャンのうち341件の悪意のあるスキルが確認されており、これは典型的な「プラグイン/拡張機能マーケットプレイスにおけるサプライチェーンポイズニング」のパターンを反映しています。

SlowMistは、SKILL.mdの「インストール手順」を信頼できる情報源として扱わず、コピー＆ペーストを必要とするコマンドはすべて監査することを推奨しています。「システムパスワード／アクセス権限の付与／システム設定」を求めるプロンプトには注意が必要です。これらはエスカレーションリスクにつながることが多いからです。依存関係やツールは公式チャネルから入手することを優先し、不明なソースからのインストールスクリプトは実行しないでください。