ClawHubのプラグインが、AIアシスタントを密かに他者のために暗号通貨を稼ぐ「労働者」に変えていることが発見されました。ManifoldのリサーチリードであるAx Sharma氏は、「imaflytok」というユーザーが30のプラグインを公開し、約9,800回のダウンロードを集めていることを特定しました。これらのプラグインは一般的なユーティリティに偽装されており、AIアシスタントを第三者のサーバーに秘密裏に登録し、暗号通貨ウォレットを生成し、ユーザーの同意なしに秘密鍵を渡しています。プラグインは4時間ごとにタスクを実行し、悪意のあるコードを含まないため検出を回避しており、プラグインストアの審査メカニズムに重大な見落としがあることを浮き彫りにしています。