GoPlus Alerte : ClawHub présente une vulnérabilité de falsification du volume de téléchargement, permettant à des compétences malveillantes de voler les données du portefeuille

Gate News, le 26 mars, GoPlus Security a publié une alerte de sécurité indiquant que des chercheurs en sécurité de Silverfort ont découvert une vulnérabilité grave dans le dépôt de compétences OpenClaw, ClawHub. Les attaquants peuvent contourner le mécanisme de protection en appelant la fonction interne downloads:increment, et en envoyant une seule requête curl pour augmenter le nombre de téléchargements à plus de 20 000 en quelques minutes, ce qui permet de faire remonter une compétence contenant un code malveillant en première position dans les résultats de recherche, incitant ainsi les utilisateurs ou les agents IA à l’installer automatiquement. Une fois la compétence malveillante exécutée, elle peut voler des données sensibles telles que des portefeuilles cryptographiques et des clés API. La vulnérabilité a été corrigée en 24 heures. GoPlus rappelle que des téléchargements élevés ne garantissent pas la sécurité, et recommande d’utiliser AgentGuard pour une analyse et une protection sécurisées.