OpenClaw 創辦人警告：CLAW 假空投詐騙來襲，GitHub 開發者淪為目標

OpenClaw 創辦人 Peter Steinberger 於 3 月 19 日在 X 平台發出公開警告，敦促所有用戶將任何聲稱與 OpenClaw 相關的加密貨幣電子郵件視為詐騙。他明確指出，OpenClaw 是「開源且非商業性」的專案。此前，針對全球 GitHub 開發者的大規模釣魚攻擊已被多名開發者舉報。

釣魚攻擊的具體手法：冒充 GitHub 通知大規模橫掃開發者

（來源：X）

此次釣魚攻擊的精心設計使其難以被立即識別。安全研究員 Aoke Quant 懷疑，攻擊者直接從 GitHub 平台抓取了開發者的公開聯繫信息，以支撐大規模精準傳播。

攻擊郵件的主要特徵如下：

發件人偽裝：郵件外觀模仿 GitHub 官方通知格式，令人難以區分

發件帳戶名稱：使用「ClawFunding」和「ClawReward」等偽造帳號

內容誘導：聲稱收件人被列入「精選貢獻者」名單，製造專屬感和緊迫性

行動呼籲：引導用戶點擊可疑 Google 連結並「領取」虛假代幣

多語言版本：部分郵件已被翻譯成西班牙語，顯示攻擊範圍已跨越多個地區

開發者 Daniel Sánchez 在分享舉報截圖時指出：「主動提供的免費資金幾乎必然是詐騙。開源項目沒有任何理由進行任何形式的加密貨幣贈與活動。」

數月騷擾的完整時間線：從模因幣到帳號被盜 30 秒

此次釣魚波是長達數月針對 OpenClaw 的系統性騷擾的最新升級。自今年 1 月 OpenClaw 以「Clawdbot」之名爆紅以來，加密貨幣投機者對 Steinberger 和其項目發動了持續性的多層次攻擊。

關鍵事件節點：

迷因幣創建：詐騙者在 Solana 上未經授權發行了以 OpenClaw 為名的迷因幣，代幣一天之內暴跌 96%，大量散戶損失慘重

品牌重塑危機：Anthropic 因商標問題要求 Steinberger 將機器人更名——當他將「Clawdbot」改為「Moltbot」後，攻擊者在名稱更改後「不到五秒」就入侵了原始帳號，開始推廣新的詐騙代幣，並在 Steinberger 來得及妥善保護帳戶之前傳播了惡意軟體

GitHub 用戶名被盜：他的 GitHub 用戶名在約 30 秒內被盜，被用於傳播惡意代碼

Discord 封禁：面對源源不斷的代幣哈希值轟炸，Steinberger 被迫徹底禁止其 Discord 伺服器上的所有加密貨幣相關討論

X 通知癱瘓：X（Twitter）通知欄因持續的代幣哈希值和垃圾信息而變得「無法使用」

Steinberger 將整段經歷描述為他所遭遇的「最嚴重的網路騷擾」。即使在 2026 年 2 月加入 OpenAI、由 Sam Altman 主導的個人 AI 代理部門之後，以 OpenAI 大型科技公司背書，也未能阻止詐騙者持續利用 OpenClaw 的品牌牟利。

常見問題

如何識別假冒 OpenClaw 的釣魚郵件？

根據 Steinberger 的公開警告，識別假冒 OpenClaw 郵件的最有效方法是：第一，OpenClaw 不存在任何加密代幣（不存在「CLAW」或任何其他官方代幣）；第二，任何要求通過郵件連結「領取空投」或「連接錢包」的操作均為詐騙；第三，僅信任 OpenClaw 的官方網站作為唯一可信信息來源，對任何第三方商業包裝保持警惕。安全研究員建議，即使郵件看似來自 GitHub 官方地址，也應仔細核查發件域名，因為詐騙者常常偽造顯示名稱。

OpenClaw 的安全漏洞是否為釣魚攻擊提供了便利？

安全公司 SlowMist 此前警告，未經妥善配置的 Clawdbot/OpenClaw 實例可能洩漏 API 金鑰和私人聊天記錄。研究員 Jamieson O’Reilly 亦發現，未經身份驗證的實例可能導致數百個憑證公開可訪問。這些安全漏洞可能為詐騙者提供了構建高度逼真釣魚郵件所需的真實用戶數據，進而提高了詐騙成功率。建議所有部署 OpenClaw 的用戶確保已完成身份驗證配置，並定期輪換 API 金鑰。

遭遇類似釣魚攻擊應如何應對？

若收到任何聲稱與 OpenClaw 相關的加密貨幣空投邀請，應立即刪除並標記為釣魚郵件，切勿點擊郵件中的任何連結或提供個人信息。若已點擊連結，應立即更改所有相關帳號密碼、撤銷可疑的第三方應用授權，並掃描設備以防惡意軟體感染。可透過 OpenClaw 官方渠道舉報相關釣魚活動，幫助保護社群中的其他開發者。