Claw Hub 和 Hugging Face 上的恶意技能
摘要
Claw Hub 和 Hugging Face 均遭到入侵,已上传 575 个恶意技能;建议用户在使用这些平台的内容时保持警惕。
https://x.com/i/status/2052646258280432027 显然这两个网站都被黑了,上面有 575 个恶意技能。注意不要随意使用其中的内容。
相似文章
AI行业的模型与智能体技能仓库充斥恶意软件。为加速开发而构建的基础设施,如今却成为攻破它的载体。
Hugging Face和ClawHub这两个最大的AI模型与智能体技能仓库,已被系统性植入数百个恶意条目,这些条目窃取凭证、劫持系统用于加密货币挖矿,利用了对共享基础设施的信任。
解放你的 OpenClaw
Hugging Face 提供了一份迁移指南,帮助你将 OpenClaw 智能体从受限的 Anthropic Claude 模型迁移到开源替代方案,可通过 Hugging Face Inference Providers 或借助 Llama.cpp 等工具在本地硬件上运行。
警告:Open-OSS/privacy-filter 恶意软件
Hugging Face 上一个伪装成 OpenAI 隐私过滤器的恶意仓库已被确认为 Windows 信息窃取病毒,利用 Python 和 PowerShell 投递程序。
vercel-labs/skills
Vercel Labs 发布 "skills" CLI,可为 45+ AI 编码代理(包括 Claude Code、Codex 和 Cursor)安装可复用的技能包。
Anthropic Claude Code 泄露揭示严重命令注入漏洞
在 Anthropic 的 Claude Code CLI 和 SDK 中发现了严重命令注入漏洞(CVE-2026-35022,CVSS 9.8),攻击者能够通过环境变量、文件路径和身份验证助手执行任意命令并窃取凭据。这些缺陷使得在 CI/CD 环境中能够进行毒化流水线执行攻击,需要立即修补和配置更改。