开源AI项目OpenClaw遭遇伪造代币钓鱼攻击
近期,知名开源人工智能项目OpenClaw的开发者在GitHub平台遭遇针对性网络钓鱼攻击,攻击者通过伪装成官方奖励通知,诱导用户访问恶意网站并连接加密货币钱包。
第三方机构揭示欺诈模式
网络安全企业OX Security于周三公开披露该事件,指出目前尚未有明确受害者报告。项目创始人彼得·斯坦伯格亦在X平台发布警示声明,强调所有声称与OpenClaw相关的邮件均属伪造,提醒用户仅通过官网渠道获取信息。他重申:‘我们从未开展此类活动,项目为纯开源性质,不涉及任何商业运作。’
攻击链路深度解析
根据OX Security调查,攻击者利用虚假的GitHub账户,在其控制的代码仓库中发布带有误导性内容的公告,并借助@提及机制提升传播范围。这些消息宣称接收者已获得价值5000美元的虚构‘CLAW’代币奖励——该代币并不存在,却与项目名称强行关联,以制造可信假象。
一旦用户点击链接,将被引导至高度仿制的OpenClaw官方网站克隆页面,进而诱导其授权连接个人加密钱包。此类操作常用于窃取私钥或获取未经授权的交易权限,是典型的社交工程攻击手段。社交媒体反馈显示,多数用户迅速识别异常并标记为诈骗行为。
创始团队早前已发出风险预警
事实上,此次攻击并非突发。早在数月前,斯坦伯格便已在X平台上明确表示,OpenClaw不会发行任何加密代币。他在今年1月的一则帖文中强调:‘我绝不会推出代币,任何标榜我为持有者的项目均为伪造。’该声明旨在防范后续冒名行为,但仍未完全阻止恶意模仿。
项目生态与反诈举措
本次钓鱼事件反映出攻击者试图借由OpenClaw的高关注度实施精准诈骗。该项目于2025年11月上线,提供可本地运行的开源自主AI代理系统,支持通过WhatsApp、Telegram等即时通讯工具执行文件管理、软件调用及浏览器任务自动化。
项目在GitHub上广受关注,拥有活跃的开发者社群,上线数月内即在X平台积累逾46.5万粉丝。为遏制虚假信息扩散,项目组已于2月正式决定在其官方Discord频道中禁止讨论比特币及各类加密资产相关话题,进一步净化社区环境。