GitHub 釣魚攻擊鎖定 OpenClaw 開發者：偽裝空投誘導連結錢包

資安公司 OX Security 披露，一場針對OpenClaw 專案相關開發者的新型釣魚活動正在 GitHub 上蔓延。攻擊者透過偽造帳號冒充專案成員，在 Issue 或評論中點名 @ 開發者，以「免費空投」「領取價值約 5,000 美元的 CLAW 代幣」等話術引導受害者點擊連結，並將其帶到仿冒站點。

該活動的核心目的在於誘導使用者連結加密錢包，從而觸發錢包資產被轉移的風險。報導指出，攻擊頁面會偽裝成與 OpenClaw 相關的網域與頁面風格，降低受害者警覺；同時，OpenClaw 本身被提及有反加密立場，曾出現與虛假代幣相關的詐騙背景，使得此類「代幣空投」更具迷惑性。

安全建議方面，OX Security 提醒開發者不要在未核實的網站上連結錢包、警惕 GitHub 內非官方帳號的空投邀約，並可將已曝光的可疑網域（如 token-claw.xyz、watery-compost.today）加入攔截與黑名單。隨著開源與 AI 代理生態升溫，圍繞開發者社群的社工與釣魚可能持續增加，專案方與平台側的帳號驗證與安全提示機制或將更受關注。