OpenClaw 創作者警告針對開發者的釣魚攻擊活動，假冒 $CLAW 的空投活動

彼得·斯坦伯格（Peter Steinberger），開源人工智慧助手OpenClaw的創建者，於2026年3月18日發出公開警告，所有聲稱與該項目有關的加密郵件都是詐騙，因為攻擊者正針對全球GitHub開發者進行假冒$CLAW代幣空投的詐騙行動。

該釣魚攻擊活動利用假冒的GitHub帳號，在問題討論串中標記開發者，並將他們引導至幾乎與openclaw.ai一模一樣的克隆網站，該網站上的「連接錢包」按鈕會啟動導致錢包被盜的惡意軟件。斯坦伯格強調，OpenClaw是「開源且非商業用途」，沒有任何加密貨幣或代幣。

這些攻擊是對斯坦伯格及其項目長達數月騷擾行為的升級，包括帳號劫持、惡意軟件散布，以及在Solana上未經授權的迷因幣發行，僅一天內崩盤96%。

釣魚攻擊活動機制

攻擊途徑

安全平台OX Security發布報告，詳細描述一個活躍的攻擊活動，威脅者創建假冒的GitHub帳號，在攻擊者控制的存儲庫中開啟問題討論串，並標記數十位開發者。詐騙聲稱收件人贏得價值5000美元的$CLAW代幣，並引導他們至設計用來竊取加密貨幣錢包的假冒網站。

這些釣魚訊息似乎來自GitHub通知地址，增加其可信度。X上分享的截圖顯示一個協調一致的活動，針對GitHub貢獻者，發送幾乎相同的訊息，提及「OpenClaw GitHub貢獻者空投」，帳號如「ClawFunding」和「ClawReward」。每則訊息列出所謂的「選定貢獻者」，營造出排他性的假象，部分版本已翻譯成西班牙語，顯示其國際範圍。

技術分析

OX Security的分析發現，名為「eleven.js」的高度混淆的JavaScript文件中埋藏著竊取錢包的代碼。經過解混淆後，研究人員識別出一個內建的「nuke」功能，能清除瀏覽器本地存儲中的所有竊錢包資料，以阻礙取證分析。惡意軟件通過PromptTx、Approved和Declined等指令追蹤用戶行為，並將包括錢包地址、交易金額和名稱的編碼資料傳回指揮控制（C2）伺服器。

研究人員還識別出一個疑似屬於威脅者的加密貨幣錢包地址——0x6981E9EA7023a8407E4B08ad97f186A5CBDaFCf5，用於接收被盜資金。這些釣魚帳號是在上週創建，並在啟動數小時內被刪除，目前尚未報告任何受害者。

目標策略

安全研究員Aoke Quant懷疑攻擊者直接從GitHub抓取開發者資訊進行大規模散布。OX Security評估，攻擊者可能利用GitHub的星標功能，識別點贊OpenClaw相關存儲庫的用戶，使誘餌看起來更具針對性和可信度。

項目背景與曝光度

OpenClaw的崛起

OpenClaw是一個自託管的AI代理框架，允許用戶運行持久的機器人，連接到訊息應用、電子郵件、日曆和Shell命令。自2026年2月OpenAI CEO山姆·奧特曼宣布由斯坦伯格領導公司推進個人AI代理後，該項目獲得了顯著關注。該項目現已成為由OpenAI支持的開源基金會運營的項目，並累積了32.3萬個GitHub星標。

斯坦伯格的警告

斯坦伯格在X上呼籲用戶將所有聲稱與該項目有關的加密郵件視為詐騙。他寫道，該項目「開源且非商業用途」，建議追隨者僅依靠官方網站，並對商業包裝保持懷疑。他的訊息明確：永遠不會有一個Coin，任何相反的聲稱都是詐騙。

騷擾歷史

長達數月的活動

自2026年1月末，OpenClaw以Clawdbot身份爆紅以來，加密詐騙者多次針對該項目。一個在Solana上未經授權的迷因幣在一天內崩盤96%，引發潛在投資者的混亂。

Discord與社交媒體影響

騷擾迫使斯坦伯格完全禁止在項目的Discord伺服器中討論加密話題。他描述自己的X通知串為「無法使用」，因為不斷湧入的代幣哈希和訊息。

GitHub帳號劫持

情況惡化，當Anthropic要求斯坦伯格因商標問題重命名機器人時，他將名稱從Clawdbot改為Moltbot，但在五秒內，攻擊者便劫持了原帳號，推廣新代幣。在斯坦伯格未能妥善保護過渡期間，他的GitHub用戶名在約30秒內被盜，並用於散布惡意代碼。他形容這次經歷為「他所經歷過的最糟糕的線上騷擾」。

先前的安全警告

安全公司SlowMist曾警告，Clawdbot實例暴露API密鑰和私密聊天記錄。研究員Jamieson O’Reilly發現，未經驗證的實例公開存取數百個憑證。這些安全漏洞可能為詐騙者提供了製作可信釣魚郵件所需的資料。

開發者建議措施

OX Security建議採取以下防護措施：

• 阻擋包括token-claw[.]xyz和watery-compost[.]today在內的惡意域名
• 避免將加密錢包連接到新出現或未驗證的網站
• 對任何推廣代幣空投或空投活動的GitHub問題保持警惕，尤其是來自未知帳號
• 最近連接過錢包的用戶應立即撤銷所有授權

開發者Daniel Sánchez總結當前氛圍：未經請求的免費金錢提議幾乎肯定是詐騙。他補充說，開源項目沒有任何理由進行任何形式的加密貨幣空投。

常見問題

OpenClaw會推出加密貨幣或代幣嗎？

不會。OpenClaw的創建者彼得·斯坦伯格多次明確表示，永遠不會有OpenClaw幣或代幣。該項目是開源且非商業用途，任何相反的聲稱——包括目前的$CLAW空投釣魚活動——都是詐騙。

釣魚詐騙是如何運作的？

攻擊者創建假冒的GitHub帳號，在攻擊者控制的存儲庫中開啟問題串，並標記開發者，聲稱他們贏得了$5,000的$CLAW代幣。收件人被引導至幾乎與openclaw.ai一模一樣的克隆網站，點擊「連接錢包」按鈕會啟動導致錢包被盜的惡意軟件。攻擊者利用抓取的GitHub資料，使誘餌看起來更具針對性和可信度。

如果懷疑自己成為目標，我該怎麼辦？

不要將錢包連接到任何陌生網站，也不要點擊有關代幣空投的未經請求的訊息中的連結。如果你最近將錢包連接到可疑網站，應立即撤銷所有授權。封鎖惡意域名token-claw[.]xyz和watery-compost[.]today，並向平台報告任何可疑的GitHub活動。