OpenClaw开发者遭GitHub钓鱼攻击

安全厂商OX Security披露，一场针对OpenClaw开发者的钓鱼活动正在GitHub上蔓延。攻击者通过伪造GitHub账号冒充项目相关人员，在Issue或评论区@目标开发者，并以“获得价值5000美元的CLAW代币奖励”为诱饵，引导受害者访问仿冒站点并进行后续操作。

该活动的核心目的是实施加密钱包盗刷（wallet drainer）：受害者一旦在不可信网站连接钱包或签署交易请求，资产可能被迅速转走。公开信息显示，OpenClaw此前已强调反加密相关政策并经历过与“假代币”有关的冒名骗局，攻击者正利用项目热度与开发者对协作平台消息的信任进行社工渗透。

简评：随着开源项目与AI代理生态走红，围绕GitHub协作链路的社工攻击预计将增多。开发者应对“空投/代币奖励”类信息保持零信任，避免在未核验域名与身份前连接钱包或签名，并及时拉黑可疑账号与域名。