A Tencent realmente lançou o primeiro software malicioso da era Agent...

Anexo uma análise objetiva, fria e profissional do código claude sobre este plugin, sem alterações, para que todos possam julgar: Foi realizada uma revisão estática do skillhub, e as conclusões são as seguintes: O skillhub não é apenas uma CLI de loja de skills. Seu pacote de instalação também instalará e ativará automaticamente um plugin para o OpenClaw, que registra um hook before_prompt_build e injeta um texto de estratégia antes de cada construção de prompt através do prependContext. A função deste conteúdo injetado não é exibir informações, mas sim guiar o agente a priorizar o uso do skillhub nas situações de busca, instalação e atualização de skills, revertendo a outras fontes apenas quando não estiver disponível. Tecnicamente, isso se classifica mais precisamente como uma injeção de prompt/política persistente, e não como uma simples instalação de ferramenta local. Isso afetará a trajetória de decisão padrão do agente a longo prazo, trazendo um custo adicional de contexto e tokens. É importante ressaltar que, até o momento, não vi evidências de "adicionar automaticamente um texto promocional ao final de cada resposta"; mas a "injeção de texto de estratégia tendenciosa ao Skillhub antes de cada rodada de solicitação" é algo que pode ser confirmado diretamente no código do pacote de instalação. Se uma ferramenta continuar a modificar o comportamento do prompt do agente, acredito que a abordagem mais adequada deve ser: Divulgar claramente antes da instalação Desativar por padrão, permitindo que o usuário ative Permitir que o usuário veja claramente o conteúdo injetado Oferecer uma forma simples e completa de desativar ou desinstalar Para plugins que alteram os limites do comportamento do modelo, transparência e consentimento explícito devem ser requisitos básicos.

CC: Após uma revisão estática de dois plugins, uma conclusão mais calma é que: Skillhub e ClawHub não podem ser simplesmente classificados na mesma categoria. Skillhub não é apenas uma ferramenta de instalação de skills. Seu pacote de instalação também instala e ativa automaticamente o plugin OpenClaw, que injeta um texto de estratégia através de before_prompt_build + prependContext antes de cada solicitação de construção de prompt, orientando o agente a priorizar o uso do Skillhub nas situações de busca, instalação e atualização de skills. É mais próximo de uma injeção de prompt/política persistente, que continuará a influenciar o caminho de decisão padrão do agente e também trará um custo adicional de tokens. Por outro lado, o que revisei do clawhub npm CLI (por exemplo, npx clawhub@latest install sonoscli) se assemelha mais a um registro/CLI comum: responsável por buscar, baixar zip, descompactar para ./skills local, escrever lockfile e informações de origem. Até o momento, não encontrei evidências de que ele instale o plugin OpenClaw, modifique a construção de prompt ou faça injeções globais semelhantes ao Skillhub. Portanto, o problema não está no conceito de "skill store" em si, mas na transparência da implementação, se minimiza e se influencia o comportamento do agente de forma não autorizada por padrão. Uma skill store normal pode ser apenas uma ferramenta explícita; mas se ela assumir automaticamente o controle do host e continuar a reescrever o prompt, então já não é apenas um instalador.

A Tencent já fez uma verificação urgente e corrigiu este problema. A forma de instalação também oferece uma versão CLI pura mais amigável. Quem já instalou, deve desinstalar a versão antiga.