มอร์นิ่งเมจ: ClawHub กำลังกลายเป็นเป้าหมายใหม่ของผู้โจมตีในการดำเนินการวางพิษในห่วงโซ่อุปทาน

PANews 9 กุมภาพันธ์ ข่าวสารจาก慢雾 การตรวจสอบโดย慢雾 พบว่า ศูนย์รวมปลั๊กอินอย่างเป็นทางการของโครงการ AI Agent เปิดแหล่งที่มา OpenClaw ชักนำให้กลายเป็นเป้าหมายใหม่ของผู้โจมตีในการดำเนินการวางพิษในห่วงโซ่อุปทาน เนื่องจากแพลตฟอร์มขาดกลไกการตรวจสอบที่สมบูรณ์และเข้มงวด ทำให้มี skill ที่เป็นอันตรายจำนวนมากแฝงอยู่และถูกนำไปใช้ในการแพร่กระจายโค้ดอันตรายหรือวางเนื้อหาที่เป็นอันตราย ซึ่งสร้างความเสี่ยงด้านความปลอดภัยให้กับนักพัฒนาและผู้ใช้ ตามรายงานของ Koi Security จากการสแกน 2,857 skills พบว่า มี 341 skills ที่เป็นอันตราย ซึ่งสะท้อนให้เห็นถึงรูปแบบ “การวางพิษในห่วงโซ่อุปทานของตลาดปลั๊กอิน/ส่วนขยาย” 慢雾 แนะนำว่า อย่าเชื่อถือคำแนะนำใน “ขั้นตอนการติดตั้ง” ของ SKILL.md เป็นแหล่งข้อมูลที่เชื่อถือได้ คำสั่งใดที่ต้องคัดลอกและวางเพื่อดำเนินการ ควรตรวจสอบก่อน ระวังข้อความแจ้งเตือน “ต้องป้อนรหัสผ่านระบบ/ให้สิทธิ์การเข้าถึงฟังก์ชันช่วยเหลือ/ตั้งค่าระบบ” ซึ่งมักเป็นจุดเสี่ยงที่เพิ่มขึ้น ควรได้รับ依赖และเครื่องมือจากช่องทางทางการเท่านั้น หลีกเลี่ยงการดำเนินการสคริปต์ติดตั้งจากแหล่งที่ไม่รู้จัก