PANews 3月13日消息，慢霧科技首席資訊安全長23pds發文提醒稱，ClawHub開發者請注意釣魚和憑證洩漏風險。目前ClawHub依賴開發者Github一鍵登錄，先前Sha1-Hulud蠕蟲竊取大量開發者的GitHub憑證，攻擊者可能會伺機攻擊Skills。

攻擊路徑為：憑證竊取→攻擊者取得GitHub權限→以開發者身分登入ClawHub→發布惡意Skills植入後門→使用者下載安裝後執行惡意程式碼導致系統入侵。