OpenClaw 创始人警告：CLAW 假空投诈骗来袭，GitHub 开发者沦为目标

OpenClaw 创办人 Peter Steinberger 于 3 月 19 日在 X 平台发出公开警告，敦促所有用户将任何声称与 OpenClaw 相关的加密货币电子邮件视为诈骗。他明确指出，OpenClaw 是“开源且非商业性”的项目。此前，针对全球 GitHub 开发者的大规模钓鱼攻击已被多名开发者举报。

钓鱼攻击的具体手法：冒充 GitHub 通知大规模横扫开发者

（来源：X）

此次钓鱼攻击的精心设计使其难以被立即识别。安全研究员 Aoke Quant 怀疑，攻击者直接从 GitHub 平台抓取了开发者的公开联系信息，以支撑大规模精准传播。

攻击邮件的主要特征如下：

发件人伪装：邮件外观模仿 GitHub 官方通知格式，令人难以区分

发件账户名称：使用“ClawFunding”和“ClawReward”等伪造账号

内容诱导：声称收件人被列入“精选贡献者”名单，制造专属感和紧迫感

行动呼吁：引导用户点击可疑 Google 链接并“领取”虚假代币

多语言版本：部分邮件已被翻译成西班牙语，显示攻击范围已跨越多个地区

开发者 Daniel Sánchez 在分享举报截图时指出：“主动提供的免费资金几乎必然是诈骗。开源项目没有任何理由进行任何形式的加密货币赠与活动。”

数月骚扰的完整时间线：从模因币到账号被盗 30 秒

此次钓鱼波是长达数月针对 OpenClaw 的系统性骚扰的最新升级。自今年 1 月 OpenClaw 以“Clawdbot”之名爆红以来，加密货币投机者对 Steinberger 和其项目发动了持续性的多层次攻击。

关键事件节点：

迷因币创建：诈骗者在 Solana 上未经授权发行了以 OpenClaw 为名的迷因币，代币一天之内暴跌 96%，大量散户损失惨重

品牌重塑危机：Anthropic 因商标问题要求 Steinberger 将机器人更名——当他将“Clawdbot”改为“Moltbot”后，攻击者在名称更改后“不到五秒”就入侵了原始账号，开始推广新的诈骗代币，并在 Steinberger 来得及妥善保护账户之前传播了恶意软件

GitHub 用户名被盗：他的 GitHub 用户名在约 30 秒内被盗，用于传播恶意代码

Discord 封禁：面对源源不断的代币哈希值轰炸，Steinberger 被迫彻底禁止其 Discord 服务器上的所有加密货币相关讨论

X 通知瘫痪：X（Twitter）通知栏因持续的代币哈希值和垃圾信息而变得“无法使用”

Steinberger 将整段经历描述为他所遭遇的“最严重的网络骚扰”。即使在 2026 年 2 月加入 OpenAI、由 Sam Altman 主导的个人 AI 代理部门之后，以 OpenAI 大型科技公司背书，也未能阻止诈骗者持续利用 OpenClaw 的品牌牟利。

常见问题

如何识别假冒 OpenClaw 的钓鱼邮件？

根据 Steinberger 的公开警告，识别假冒 OpenClaw 邮件的最有效方法是：第一，OpenClaw 不存在任何加密代币（不存在“CLAW”或任何其他官方代币）；第二，任何要求通过邮件链接“领取空投”或“连接钱包”的操作均为诈骗；第三，仅信任 OpenClaw 的官方网站作为唯一可信信息来源，对任何第三方商业包装保持警惕。安全研究员建议，即使邮件似乎来自 GitHub 官方地址，也应仔细核查发件域名，因为诈骗者常常伪造显示名称。

OpenClaw 的安全漏洞是否为钓鱼攻击提供了便利？

安全公司 SlowMist 此前警告，未经妥善配置的 Clawdbot/OpenClaw 实例可能泄露 API 密钥和私人聊天记录。研究员 Jamieson O’Reilly 亦发现，未经身份验证的实例可能导致数百个凭证公开可访问。这些安全漏洞可能为诈骗者提供了构建高度逼真钓鱼邮件所需的真实用户数据，进而提高了诈骗成功率。建议所有部署 OpenClaw 的用户确保已完成身份验证配置，并定期轮换 API 密钥。

遭遇类似钓鱼攻击应如何应对？

若收到任何声称与 OpenClaw 相关的加密货币空投邀请，应立即删除并标记为钓鱼邮件，切勿点击邮件中的任何链接或提供个人信息。若已点击链接，应立即更改所有相关账号密码、撤销可疑的第三方应用授权，并扫描设备以防恶意软件感染。可通过 OpenClaw 官方渠道举报相关钓鱼活动，帮助保护社区中的其他开发者。