隨著開源 AI 代理專案 OpenClaw 在 GitHub 斬獲超過 32 萬顆星、晉升全球前十大存儲庫,駭客正盯上這塊肥肉。安全公司 OX Security 指出,近期出現大規模針對開發者的釣魚活動,駭客透過 GitHub 標記功能散布虛假的「$5,000 美元 CLAW 代幣領取」訊息,誘導用戶連結並洗劫加密錢包。
(前情提要:黃仁勳GTC2026 演講全文:AI需求達數兆美元、算力躍350倍,OpenClaw讓每家公司都變成AaaS)
(背景補充:中國國家安全部警告「龍蝦養殖」:OpenClaw 埋四大安全地雷,你的裝置可能被接管)
在 AI 代理(AI Agents)浪潮下,熱門開源專案正淪為駭客實施精準打擊的新戰場。根據網路安全公司 OX Security 於 3 月 18 日發布的警示,目前一場針對 OpenClaw 專案支持者的「錢包洗劫」行動正在上演。
GitHub「標記功能」遭惡意劫持
這場攻擊之所以讓眾多資深開發者中招,關鍵在於其採用了「寄生式(Living-off-the-land)」的社交工程手段。駭客利用 GitHub API 篩選出曾經對 OpenClaw 專案點過星(Star)的高價值目標名單,隨後在惡意存儲庫中開啟討論串,並同時標記數十名開發者。
由於這些通知來自 GitHub 官方信箱([email protected]),極具迷惑性。攻擊者在訊息中聲稱,受邀者已被選中獲取價值 5,000 美元 的「CLAW」代幣獎勵,藉此誘導受害者前往釣魚網站。
「像素級」複製官網,暗藏錢包洗劫器
根據 OX Security 的技術分析,駭客架設了 token-claw[.]xyz 等惡意域名,其介面幾乎完美複製了 OpenClaw 的官方網站(openclaw.ai)。然而,釣魚站點多了一個關鍵的「連結錢包(Connect your wallet)」按鈕。
一旦用戶點擊該按鈕,後台隱藏的「錢包洗劫器(Wallet Drainer)」套件就會啟動,支援 MetaMask、WalletConnect 等主流入口。背後的混淆腳本 eleven.js 會與 C2 伺服器 watery-compost[.]today 連動,在用戶授權後瞬間轉移帳戶內的所有資產。
創辦人急闢謠:OpenClaw 絕無代幣促銷
針對這波來勢洶洶的攻擊,OpenClaw 創辦人 Peter Steinberger 昨日於 X(前推特)平台發出嚴正警告:
「各位,如果你收到宣稱與 OpenClaw 相關的代幣郵件或網站,那絕對是詐騙。OpenClaw 是非營利專案,我們永遠不會進行這類促銷。」
Folks, if you get crypto emails from websites claiming to be associated with openclaw, it's ALWAYS a scam.
We would never do that. The project is open source and non-commercial. Use the official website. Be sceptical of folks trying to build commercial wrappers on top of it.
— Peter Steinberger 🦞 (@steipete) March 18, 2026
多重攻擊向量:偽造安裝包與惡意插件
事實上,OpenClaw 面臨的安全危機遠不止於此。本月稍早,資安研究人員還發現了以下威脅:
- 假冒安裝程式: 惡意存儲庫利用 Bing AI 搜索結果的權重,散布帶有 Vidar 竊資木馬的假 OpenClaw 安裝包。
- npm 供應鏈中毒: 駭客發布名為
@openclaw-ai/openclawai的惡意包,安裝後會佈署 GhostLoader 遠端訪問木馬。 - ClawHub 惡意插件: 專為 OpenClaw 設計的「技能(Skills)」商店中,有多達 12% 的外掛程式被發現內含 AMOS 竊資軟體。
目前 OpenClaw 在 GitHub 上的受歡迎程度已排在全球第九位。安全專家呼籲所有開發者,務必不要在存有企業憑證或大量數位資產的機器上直接測試不明來源的 AI 插件,並絕對拒絕任何形式的「盲簽(Blind signatures)」授權請求。
📍相關報導📍
OpenClaw 為何突然在中國大爆發?全民都在養龍蝦的三大優勢
