La vulnerabilidad de ClawHub permite a los atacantes manipular las clasificaciones para convertirse en la habilidad número uno

El equipo de investigación de seguridad ha descubierto una vulnerabilidad crítica en ClawHub, el registro público de habilidades para el ecosistema agente de OpenClaw. Esta falla permitió a los atacantes inflar artificialmente los recuentos de descargas de habilidades maliciosas, evitando así los controles de seguridad y manipulando las clasificaciones de búsqueda.

ClawHub funciona de manera similar a npm para agentes OpenClaw, lo que permite a los desarrolladores publicar integraciones para tareas como la gestión de calendarios y la búsqueda web. Creación de una habilidad (fuente: silverfort) exploit técnica La causa principal de esta vulnerabilidad surge de la implementación backend de la plataforma utilizando el marco convexo. Durante su análisis, los investigadores de Silverfort descubrieron que la función descargas: incremento fue expuesta erróneamente como una mutación pública en lugar de una función privada interna. Jugando con el sistema de clasificación para lograr el puesto número 1 en nuestra categoría de habilidades (fuente: silverfort) Este error de configuración crítico pasó por alto todas las capas de validación previstas.

Solicitud de más de 20.000 descargas para la habilidad maliciosa (fuente: Silverfort) Al explotar el punto final RPC expuesto, los investigadores inundaron la base de datos backend con solicitudes, llevando instantáneamente su habilidad maliciosa a la cima de los resultados de búsqueda de ClawHub. La publicación La vulnerabilidad de ClawHub permite a los atacantes manipular las clasificaciones para convertirse en la habilidad número uno apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗