PANews는 2월 9일 SlowMist 모니터링 결과를 인용하여 오픈소스 AI 에이전트 프로젝트인 OpenClaw의 공식 플러그인 센터인 ClawHub가 공급망 오염 공격을 위한 새로운 표적으로 점점 더 많이 이용되고 있다고 보도했습니다. 플랫폼에 강력하고 엄격한 검토 메커니즘이 부족하여 수많은 악성 스킬이 침투해 악성 코드 유포 또는 유해 콘텐츠 배포에 사용되고 있으며, 이는 개발자와 사용자에게 잠재적인 보안 위험을 초래합니다. Koi Security의 보고서에 따르면 2,857건의 스캔에서 341개의 악성 스킬이 발견되었으며, 이는 전형적인 "플러그인/확장 프로그램 마켓플레이스 공급망 오염" 패턴을 보여줍니다.

SlowMist는 SKILL.md의 "설치 단계"를 신뢰할 수 있는 출처로 간주하지 말고, 복사 및 붙여넣기가 필요한 모든 명령어를 검토할 것을 권장합니다. "시스템 암호/접근 권한 부여/시스템 설정"을 요구하는 메시지는 위험 증가 지점일 수 있으므로 주의해야 합니다. 필요한 필수 파일과 도구는 공식 경로를 통해 다운로드하고, 출처를 알 수 없는 설치 스크립트는 실행하지 마십시오.