
6 月 17 日安全厂商 Manifold Security 披露,OpenClaw 插件平台 ClawHub 存在命名空间抢注漏洞,1508 个上架技能里查出 23 个冒用@OpenClaw/、@ClawHub/官方前缀的第三方插件,极易误导用户误判为官方工具。

仿冒插件页面截图
这批仿冒插件发布主体和 OpenClaw 官方无任何关联,平台此前缺少命名空间强制校验机制,第三方账号可随意占用官方专属标识上架技能。尽管目前检测未发现插件内置恶意代码,但这类仿冒属于典型软件供应链隐患,攻击者后续可通过版本更新植入后门、窃取本地密钥与账号凭证,一旦批量扩散会造成大面积数据泄露风险。

夜雨聆风