hub

公式発表によると、OpenClawのAIインテリジェンスライブラリプラットフォームClawHubが中国ミラーサイトを正式に立ち上げ、ドメインはmirror-cn.clawhub.comであり、今回のインフラはBytePlusが提供する支援を受けています。

テンセントの広報ディレクター、張軍は今日、3月30日に企業微信CLIオープンソースプロジェクトがGitHubコミュニティに上架され、メッセージ、スケジュール、ドキュメント、スマートフォーム、会議、タスク、連絡先などの7つのコア製品機能を開放し、主流のAIAgent（ClaudeCode、Codex、WorkBuddy、QClawなど）の呼び出しをサポートすると発表しました。開発者はこれらの機能に基づいて、AIAgentがより自然な方法で企業微信の機能を理解し、呼び出すことができるようにし、日常のオフィスシーンにより近いAIアプリケーションを迅速に開発できます。

GoPlus Security が発表したセキュリティ警告によると、Silverfort のセキュリティ研究者は OpenClaw のスキルリポジトリ ClawHub に深刻な脆弱性を発見しました。攻撃者は内部関数 downloads:increment を呼び出すことで、すべての防御機構を回避し、単一の curl リクエストで数分以内にダウンロード数を 2 万回以上に増やすことができ、悪意のあるコードを含むスキルを検索ランキングの第一位に押し上げ、ユーザーや AI エージェントに自動的にインストールさせることができます。悪意のあるスキルが実行されると、暗号財布や API キーなどの敏感なデータを盗むことができます。現在、この脆弱性は 24 時間以内に修正されました。GoPlus はユーザーに対し、高いダウンロード数が安全を意味するわけではないと警告し、AgentGuard を使用して安全スキャンと防御を行うことを推奨しています。

GateはSkills Hubの全面的なアップグレードを完了し、AIスキルの数を11から10,000以上に拡張し、業界で最も包括的なAI取引戦略市場を構築しました。プラットフォームはGitHubなどの多様なリソースを集約し、重複排除と品質選別メカニズムを通じて供給構造を最適化し、市場分析、アービトラージ戦略、取引実行およびリスク管理などのコアシナリオをカバーしています。使用体験において、Skills Hubは8つの大分類体系とタグ付けされた選別メカニズムを導入し、多次元検索とインテリジェントソート機能を組み合わせて、ユーザーが目標戦略を迅速に特定できるように支援します。同時に、プラットフォームは二つのインストールパスを提供します：一般ユーザーはワンクリックでコマンドを生成し、AIが自動的にロードと実行を完了します。開発者は標準的な方法でデプロイおよび二次開発を行うことができます。さらに、Skills Hubは多様な能力の組み合わせ使用をサポートし、マーケット分析から取引実行までの完全なプロセスをカバーし、取引におけるAIの実際の応用能力を向上させます。Gate for AIのコアモジュールとして、このアップグレードはその能力層の構築をさらに充実させ、AI取引を単一機能から体系的な応用へと発展させることを促進します。

市場の情報によると、安全プラットフォーム OX Security が発表したところによれば、AI エージェントプロジェクト OpenClaw の開発者が暗号通貨フィッシング活動の標的になっているとのことです。攻撃者は偽の GitHub アカウントを作成し、攻撃者が管理するリポジトリで議題を立て、数十名の開発者に @ を付けて、5000 ドルの CLAW トークン報酬を獲得したと主張し、openclaw.ai とほぼ完全に同じクローンサイトに誘導しています。このフィッシングサイトには「ウォレットを接続」するボタンが追加されており、接続されたウォレットの資産を盗むことを目的としています。悪意のあるコードは、深く難読化された JavaScript ファイルに隠されており、証拠分析を妨げるためにブラウザのローカルストレージデータを消去する「nuke」機能を備えています。また、ウォレットアドレスや取引額などの情報をエンコードして C2 サーバーに送信します。研究者は、盗まれた資金を受け取るために使用される疑いのある暗号ウォレットアドレスを特定しました。関連アカウントは先週作成され、数時間以内に削除されましたが、現在確認された被害者はいません。OpenClaw はその高い注目度から詐欺師の標的となっており、その Discord コミュニティも以前に大量の暗号通貨スパムに直面しています。以前の情報では、OpenClaw の創設者が、OpenClaw の名を騙って送信される暗号通貨詐欺メールに警戒するようにと警告しています。

慢雾科技首席信息安全官 23pds が発信した注意喚起によると、ClawHub の開発者はフィッシングや資格情報漏洩のリスクに注意する必要があります。現在、ClawHub は開発者の GitHub ワンクリックログインに依存しており、以前に Sha1-Hulud ワームが多数の開発者の GitHub 資格情報を盗んだため、攻撃者が Skills を狙う可能性があります。攻撃経路は次の通りです：資格情報の盗難 → 攻撃者が GitHub 権限を取得 → 開発者として ClawHub にログイン → 悪意のある Skills を公開しバックドアを埋め込む → ユーザーがダウンロードしてインストール後、悪意のあるコードを実行しシステムが侵入される。

OpenClaw の創設者ピーター・スタインバーガーは、GitHub のセキュリティ脆弱性報告プロセスに多くの問題があると批判する投稿をしました。彼は、現在の脆弱性報告が管理者のみのアクセス権を持っているため、チーム内での効果的な配布と協力処理が難しいと指摘しました。さらに、GitHub の脆弱性報告に関しては API 機能が不足しており、自動化エージェントを通じてコメントを読み取ったり公開したりすることができないため、セキュリティ対応プロセスの自動化能力が制限されています。ピーター・スタインバーガーは、現在の脆弱性報告には大量の AI 生成の低品質なコンテンツが含まれており、選別に数時間を費やす必要があると特に指摘し、セキュリティ処理作業の負担がさらに増加していることを強調しました。

慢雾の創設者余弦が安全に関する警告を発表しました。現在、OpenClawのClawHubマーケットでは1,184個の悪意のあるスキルが発見されており、これらのスキルはSSHキー、暗号ウォレット、ブラウザのパスワードを盗み、リバースシェルを開く可能性があります。たった一人の攻撃者が677個のパッケージをアップロードしました。ランキング1位のスキルには9つの脆弱性が存在し、ダウンロード数は数千回に達しています。余弦はユーザーに対し、テキストはもはやテキストではなく、指令であると警告しています。AIツールは独立した環境で使用することを推奨し、多くのOpenClawスキルには潜在的なリスクが存在します。さらに、Web3のセキュリティにおける契約は一部に過ぎず、本当の事故の原因はすでに契約だけではありません。数日前、Moonwellが178万ドルを盗まれた事件では、欠陥コードがCo-Authored-By：Claude Opus 4.6から来ています。

BitgetがAgent Hubを発表、AIエージェントの暗号およびTradFi市場取引への深い関与を拡張するインフラ能力をさらに強化Agent HubはBitget APIに基づいて構築され、公式にパッケージ化されたModel Context Protocol（MCP）ツールキットを提供し、AIエージェントが標準化されたインターフェースを通じて安全に市場データと実行能力にアクセスできるようにします。プラットフォームは取引所によって維持されるMCPサーバーを提供し、迅速な接続をサポートします。開発者は最短3分で接続を完了でき、専用のサブアカウントシステムを備えて権限の分離と資産の安全性を強化します。AIはBitgetの2026年の3つの主要戦略の1つであり、Agent HubはBitgetの全景取引所UEXアーキテクチャに組み込まれ、統一されたアカウントとリスク体系の下でクロスアセットクラスの運用をサポートします。これにより、AIエージェントは実験的なツールから真の市場参加者へと変わり、AI駆動の取引に生産レベルのインフラサポートを提供します。

Pump.fun は GitHub のクリエイター料金共有機能の開始を発表しました。ユーザーは現在、Pump.fun モバイルアプリを通じて、クリエイター料金を任意の GitHub アカウントに配分できます。さらなるソーシャル機能が近日中に登場予定です。

据慢雾监测，开源 AI Agent 项目 OpenClaw 的官方插件中心 ClawHub 正逐渐成为攻击者实施供应链投毒的新目标。由于平台缺乏完善、严格的审核机制，已有大量恶意 skill 混入其中，并被用于传播恶意代码或投放有害内容，给开发者和用户带来潜在安全风险。根据 Koi Security 的报告，在对 2,857 个 skills 的扫描中识别出 341 个恶意 skills，反映出典型的"插件/扩展市场供应链投毒"形态。慢雾建议，不要把 SKILL.md 的"安装步骤"当成可信来源，任何要求复制粘贴执行的命令都应先审计；警惕"需要输入系统密码/授予辅助功能/系统设置"的提示，这往往是风险升级点；优先从官方渠道获取依赖与工具，避免执行来源不明的安装脚本。

ClawdBot（現在は Moltbot に改名）創設者の Peter Steinberger は、ソーシャルメディアで投稿し、GitHub アカウントのハイジャック問題が解決したことを明らかにしました。この問題は個人アカウントにのみ影響を与え、組織アカウントには影響しません。彼は特に、約 20 の偽の X 詐欺アカウントに対してユーザーに警戒するよう呼びかけました。

据澎湃新闻报道，近日有消息称，腾讯已正式向 GitHub（全球最大代码托管与协作平台）发出投诉函，要求下架一批 "允许用户导出或分析自己微信聊天记录" 的开源项目。其中，部分较受关注的项目负责人公开表示，在法律压力下，项目被迫停止维护。腾讯方面回应，部分读取微信聊天记录的开源项目，是通过对微信客户端进行逆向工程等手段，破解本地数据库的密钥，以绕过微信客户端的加密措施，威胁用户本人及第三方数据隐私及客户端安全，且极易被黑灰产利用。

ナスダック上場企業 AIxC は、Web3 投資教育と予測コンペティションプラットフォーム AIXC Hub を発表しました。ユーザーは、ゲーム化された予測、チーム対決、エージェント開発を通じて暗号通貨投資を学びながら、ポイント報酬を獲得できます。

最近のソーシャルプラットフォームにおける虚偽情報に対して、Techub Newsは声明を発表しました。Techub Newsの創設者兼CEOであるAlmaは、Central Researchの設立に一切関与しておらず、「共同創設者」やそれに類する役職を務めたこともありません。これに関する表現はすべて事実ではありません。Big Demo Dayは、多方面の協力による公開起業ロードショーのブランドイベントであり、香港デジタルハーバーなどの機関から支援を受けたことがあります。Techub Newsは、共同主催者や協力メディアとして一部の回に参加しているだけであり、Central Researchの内部ガバナンス、人事任命、または運営管理には関与していません。このイベントを単純に「内部活動」と同一視したり、Almaの公の場への露出をその運営への関与と解釈することは誤解です。プラットフォームは、関連する当事者に誤った情報の訂正を求め、各方面に対して情報を引用する際には事実に基づくよう呼びかけています。今後、意図的な虚偽や悪意のある中傷に関する内容について、Techub Newsは法的責任を追及する権利を留保します。

Solanaの共同創設者アナトリー・ヤコヴェンコは、Solana Breakpoint大会で次のように述べました。「私が最も好きな点は、去中心化はリーダーがいないことではなく、リーダーが豊かに現れることです。過去5年間で、多くの人々が立ち上がりました------財団やLabsの人々、そしてこれらの初期組織に全く属さないコミュニティメンバー、アプリケーションやプロトコルの構築者たち------彼らは本当にネットワーク全体のリーダーシップを担っています。今に至るまで、私はGitHubのコミット権限すら持っていませんし、私がステージに上がって話すのにかかった時間はわずか2分です。私の目標は観客席に座ることです------それはネットワーク全体が本当に成熟し、自分自身の生命を持つことを意味していると思います。私はこれを非常に誇りに思っています。」

Cosmos Hub は正式に ATOM トークン経済学研究プログラムを開始し、ATOM が Cosmos エコシステムにおける中心的な地位を反映する持続可能な収入ベースのトークン経済モデルを設計することを目指しています。この研究は、提案リクエスト、研究チームの選定、情報収集、研究結果の分析、ガバナンス投票の五つの段階に分かれて行われます。研究は、単一のメカニズムやフライホイール設計に直接飛び込むのではなく、実際の収入に基づくトークン経済学の基礎モデルに重点を置きます。Cosmos Labs は、このモデルが循環トークン経済システムの限界を克服し、Cosmos テクノロジースタックの採用によって生み出される持続可能な収入を通じて ATOM の長期的な成長を促進すると述べています。コミュニティは、研究チームの選定への参加、フィードバックの提供、最終的なオンチェーン投票を含むプロセス全体で重要な役割を果たします。Cosmos Labs は、これが「Cosmos の歴史の中で最も重要なガバナンス提案の一つである可能性がある」と述べています。

安全研究者は、北朝鮮のハッカーグループKONNIが新しい攻撃手法を開発し、初めてGoogleのFind Hub資産追跡機能を利用してAndroidデバイスに対してリモートデータ消去攻撃を実施したことを発見しました。攻撃者は、心理カウンセラーや人権活動家に偽装し、韓国のKakaoTalk通信プラットフォームで「ストレス解消プログラム」と呼ばれるマルウェアを配布しました。被害者がこれらのファイルを実行すると、攻撃者はGoogleアカウントの資格情報を盗み、Find Hub機能を利用してデバイスの位置を追跡し、リモートリセットを実行し、個人データが削除される結果となります。今回の攻撃はKONNI APT活動の後続行動として確認されており、この組織は北朝鮮政府が支援するKimsukyやAPT 37と密接に関連しています。セキュリティ専門家は、ユーザーにアカウントのセキュリティを強化し、二要素認証を有効にし、インスタントメッセージングツールを通じて受信したファイルに注意を払うように勧めています。