OpenClaw技能库现严重漏洞，恶意插件可劫持搜索排名

OpenClaw技能库曝致命漏洞，恶意插件借刷量入侵搜索生态

3月26日，GoPlus Security发布紧急通告，指出Silverfort安全团队在OpenClaw平台的技能共享仓库ClawHub中发现一处严重安全缺陷。攻击者仅需一条curl指令调用内部函数downloads:increment，即可在短时间内将特定技能下载次数推升至两万以上，从而操纵搜索排名。

恶意代码伪装高热度，诱导用户与AI自动安装

该漏洞被利用后，攻击者可将携带恶意逻辑的技能推至搜索结果首位，借助高下载量营造虚假可信度，诱使用户或自动化AI代理主动下载并执行，进而窃取加密钱包私钥、API密钥等核心敏感信息。

漏洞响应迅速，修复已在24小时内完成

相关问题已由OpenClaw团队在24小时内完成补丁部署，系统现已恢复安全状态。但安全机构提醒，高下载量并非安全背书，平台使用者应提高警惕。

建议启用专业防护工具防范未知风险

GoPlus Security特别推荐使用AgentGuard进行深度扫描，以识别潜在恶意技能，强化对第三方组件的安全审查能力，避免因信任误判导致系统沦陷。