PANews 2月9日消息，據慢霧監測，開源AI Agent專案OpenClaw的官方插件中心ClawHub正逐漸成為攻擊者實施供應鏈投毒的新目標。由於平台缺乏完善、嚴格的審核機制，已有大量惡意skill混入其中，並用於傳播惡意程式碼或投放有害內容，為開發者和使用者帶來潛在安全風險。根據Koi Security的報告，在對2,857個skills的掃描中識別出341個惡意skills，反映出典型的「插件/擴展市場供應鏈投毒」形態。

慢霧建議，不要把SKILL.md的「安裝步驟」當成可信來源，任何要求複製貼上執行的命令都應先審計；警惕「需要輸入系統密碼/授予輔助功能/系統設定」的提示，這往往是風險升級點；優先從官方管道獲取依賴與工具，避免執行來源不明的安裝腳本。