GitHub钓鱼瞄准OpenClaw开发者

安全公司OX Security披露，一场针对OpenClaw项目相关开发者的新型钓鱼活动正在GitHub上蔓延。攻击者通过伪造账号冒充项目成员，在Issue或评论中点名@开发者，以“免费空投”“领取价值约5000美元的CLAW代币”等话术引导受害者点击链接，并将其带到仿冒站点。

该活动的核心目的在于诱导用户连接加密钱包，从而触发钱包资产被转移的风险。报道指出，攻击页面会伪装成与OpenClaw相关的域名与页面风格，降低受害者警惕；同时，OpenClaw本身被提及有反加密立场，曾出现与虚假代币相关的诈骗背景，使得此类“代币空投”更具迷惑性。

安全建议方面，OX Security提醒开发者不要在未核实的网站上连接钱包、警惕GitHub内非官方账号的空投邀约，并可将已曝光的可疑域名（如token-claw.xyz、watery-compost.today）加入拦截与黑名单。随着开源与AI代理生态升温，围绕开发者社区的社工与钓鱼可能持续增加，项目方与平台侧的账号校验与安全提示机制或将更受关注。