Hugging Face和ClawHub平台出现大规模恶意AI技能投放攻击。攻击者仅通过13个账号上传了超过575个伪装成有用工具的恶意插件,这些插件针对Windows和macOS系统,实际会安装木马、挖矿程序或信息窃取器。攻击采用隐藏命令和间接提示注入等技术绕过安全检测。此事件暴露了AI技能生态系统的根本性安全风险:用户在急切赋予AI代理更多能力时,往往随意安装未经验证的技能,导致最基本的信任链条被轻易击溃,使整个生态成为巨大的攻击面。真正的危险并非源于AI本身,而在于用户过于随意地交出了系统权限。
从头到尾比我们吃预制菜狠多了! 然后一发赚不到的行踪。
13个账号就把AI技能市场彻底毒穿了,575个恶意插件正伪装成你的最佳帮手,等着把电脑变成黑客的私人提款机。
Hugging Face和ClawHub上这些工具看起来能让AI代理瞬间变强,实际却针对Windows和macOS偷偷安装木马、矿工和窃取器,还用隐藏命令跟间接提示注入完全绕过检测。
大家现在都急着给代理装各种技能,以为自己在加速解放双手干大事。
结果最基础的信任链条已经被轻松击溃,黑客用这么点资源就把整个生态变成了最大攻击面。
AI时代真正的危险,从来不是机器多聪明,而是我们把权限交得太随意。