OpenClaw（Clawdbot）制造了AI Agent的第一批受害者

1600万美元蒸发只用了10秒

2026年1月27日，一个奥地利开发者释放了一个Twitter账号。10秒后，职业骗子抢注了这个账号。几小时后，挂在这个账号下的假代币市值冲到1600万美元。再过几小时，暴跌90%以上。

这个开发者叫 Peter Steinberger。他的开源项目 Clawdbot 在2025年11月上线后三天 GitHub Star 突破6万，一周超10万。到2026年1月底超过16万。一周内吸引200万访客。它是一个能接管电脑的 AI 代理，能管理邮件、日历、消息应用，能执行 Shell 命令，能读写文件系统。

Anthropic 觉得 Clawd 这个名字太像 Claude，要求改名。Steinberger 改成了 Moltbot，三天后又改成了 OpenClaw。两次改名之间，他需要释放旧的 @clawdbot 账号去注册新账号。

就在这个10秒窗口里，一切崩塌了。

抢注者拿到这个有大量真实粉丝的账号后，发布了"Clawdbot 官方治理代币" $CLAWD。因为账号的关注者、头像、历史帖子全是真实的，大量用户以为这是官方行为。FOMO 情绪叠加 Solana 上的流动性操纵，$CLAWD 市值飙升。

Steinberger 发了一条这样的推文："I will never do a coin. Any project that lists me as coin owner is a SCAM."

太晚了。按照典型 Solana meme coin 的 Rug Pull 模式，操盘者在崩盘前套现了代币市值的10-30%。1600万的10%就是160万美元。用时不到24小时。

与此同时，Twitter 上出现了大量"人人都在用 Clawdbot 赚钱"的帖子。有人描述用 Clawdbot 在 Polymarket 上实现"六位数利润"，另一个账号声称"Free ClawdBot 在 Polymarket 上印钞……赚了大约46万美元"。这些帖子的真实目的不是分享经验，是为 $CLAWD 代币制造 FOMO。

---

第一批受害者不是被黑客攻破的，是自愿把钥匙交出去的

$CLAWD 代币的受害者还算"传统"的加密货币骗局受害者。第二批受害者更值得研究，因为他们是技术人员，而且他们以为自己在做一个理性的决定。

OpenClaw 有一个"技能市场"叫 ClawHub。用户可以给 AI 代理安装各种扩展能力，就像给手机装 App 一样。注册门槛极低，只要有一个创建超过一周的 GitHub 账号就能发布技能，没有任何代码审查流程。

安全研究人员在 ClawHub 上发现了一场代号 ClawHavoc 的攻击行动。Koi Security 审计了 2,857 个技能，发现 341 个恶意技能，感染率12%。另一家安全公司 SlowMist 报告了 472 个受影响的技能，共享相同的攻击基础设施。

攻击者至少有14人，但可能部分是被劫持的合法账号。最活跃的一个叫 hightower6eu，发布了354个恶意包，全部集中在加密货币分析和金融追踪领域。另一个叫 Sakaen736jih 的攻击者在2月初被观察到每隔几分钟就自动提交新的恶意技能，使用的是自动化部署脚本。还有一个叫 davidsmorais 的账号混合发布合法和恶意技能，安全研究员判断这是一个被劫持的合法开发者账号。

超过100个恶意技能伪装成加密货币工具：Solana 钱包追踪器、Phantom 钱包管理器、以太坊 Gas 价格监控、比特币区块链分析、内部钱包追踪器。还有一批伪装成 Polymarket 预测市场机器人，精准命中了 Clawdbot 用户群体的兴趣点。

它们的攻击方式不是直接执行恶意代码。它们会弹出一个模拟的错误消息或"环境验证"要求，让用户在终端执行一段 base64 编码的命令来"修复"问题。这段命令连接到攻击者控制的服务器 91.92.242[.]30，下载第二阶段的 dropper 脚本。安全圈把这种手法叫 ClickFix。用户以为自己在修复环境，实际上在给自己装后门。

最终投放的恶意软件叫 Atomic macOS Stealer（AMOS），是一个521KB的通用 Mach-O 二进制文件（同时支持 x86_64 和 arm64 架构）。它在暗网 Telegram 上以每月 $500-1000 的价格出售。AMOS 使用运行时字符串解密来绕过静态分析，通过清除 quarantine 属性来绕过 macOS Gatekeeper，还使用 ptrace() 和 sysctl() 来检测和规避调试器。

被窃取的数据上传到 socifiapp[.]com/api/reports/upload。ClawHavoc 行动波及超过120个国家。

---

一个你可能从未听说过的端点：/api/export-auth

大部分报道集中在 CVE-2026-25253 和 ClawHavoc。但还有一个同样致命的问题几乎没有被中文媒体覆盖。

OpenClaw 有一个用于备份用户凭据的端点：/api/export-auth。这个端点的设计目的是让用户导出自己的认证令牌以便备份。问题在于，它没有任何认证或授权检查。

任何能访问这个端点的人，无论是通过暴露的网关还是通过 CVE-2026-25253 的一点击漏洞，都可以直接拿到你存储在 OpenClaw 中的所有 API 令牌。OpenAI 的、Claude 的、Google AI 的。明文。无加密。

Hunt.io 在2月3日发布了一份报告，标题是 "Hunting OpenClaw Exposures: CVE-2026-25253 in Internet-Facing AI Agent Gateways"。他们发现超过 17,500 个暴露在互联网上的 OpenClaw 实例，分布在 52 个国家，98.6% 运行在云基础设施上。到1月底，这个数字增长到超过 21,000 个。到2月8日，The Hacker News 报告这个数字已经超过 30,000 个。

CVE-2026-25253 的攻击链比大部分报道描述的更复杂。攻击者不仅窃取认证令牌，还通过跨站 WebSocket 劫持（Cross-Site WebSocket Hijacking）连接受害者的 OpenClaw 实例，禁用安全提示，然后在宿主系统上执行任意 Shell 命令。这是一个从"点击一个链接"到"完全控制你的电脑"的完整杀链。

安全工程师 Lucas Valbuena 用 ZeroLeaks 对 OpenClaw 做了安全评估，结果成为安全圈当年传播最广的推文之一。

综合安全评分：2分（满分100）。系统提示词提取成功率84%，意味着攻击者在第一轮对话中就能拿到完整的系统指令。提示词注入攻击成功率91%。

Snyk 的后续审计发现 ClawHub 上 3,984 个技能中有 283 个（7.1%）存在设计缺陷，会指示 AI 代理将用户的 API 密钥、密码、甚至信用卡号码以明文形式写入输出日志。这些不是恶意技能，只是写得不好的技能。但效果一样：你的敏感数据进入了可被访问的日志。

---

这不是一个可以打补丁的问题

Daniel Miessler 是安全圈公认的 AI 乐观派。他给自己的定位是"98% AI YOLO Maximalist"。但1月27日，他发了一条推文说："请听我说。以下是 clawd.bot 的主要安全问题，你们所有人都应该避免。"

OpenClaw 的安全困境不是"版本太旧、忘了打补丁"这种可以修复的工程问题。它是 AI 代理作为一个产品品类的结构性矛盾。

一个有用的 AI 代理必须能访问你的邮件、日历、文件系统、消息应用。它必须能执行代码、调用 API、操作网页。它的价值恰恰来自于拥有最大的权限。限制权限就是限制功能。

传统软件的安全模型建立在确定性上。你审计代码，知道它会做什么。AI 代理的行为是非确定性的。同样的输入可能产生不同的输出。它可能在某次对话中被提示词注入改变行为，可能调用一个被投毒的工具，可能把敏感信息写到不该写的地方。你没法用传统的白名单、黑名单、防火墙来保护一个行为不可预测的软件。

CrowdStrike 和 Trend Micro 在2026年初密集发布了"Agentic AI 安全框架"报告。核心结论出奇一致：传统安全工具无法保护非确定性的 AI 代理。需要的不是更好的防火墙，是一整套新的治理范式。

---

"影子 AI" 和一个让 CISO 失眠的数据

$CLAWD 代币骗局伤害的是散户。ClawHavoc 伤害的是技术用户。但企业可能才是损失最大的受害者。

2026年的 CISO 调查数据揭示了一个令人不安的现实：71% 的 AI 工具已经拥有核心业务系统的访问权限，但只有 16% 的组织对此实施了有效治理。92% 的组织无法完整看到 AI 身份的活动。95% 的组织怀疑自己无法检测到 AI 的滥用行为。

75% 的 CISO 在自己的环境中发现了未授权的 AI 工具。这些工具带有嵌入式凭据或提升了系统权限，而且没有被监控。CISO 们把"影子 AI"列为头号安全风险。

员工为什么这么做？60% 的受调查员工承认，他们愿意为了更快完成工作而冒安全风险使用未授权的 AI 工具。OpenClaw 恰好是那种让人忍不住装上试试的工具。

然后事情就变得非常糟糕。一个员工在公司电脑上装了 OpenClaw，给它配上了公司邮箱、代码仓库、内部文档的读取权限。实例的网关端口开着，认证没配置，或者安装了一个含 AMOS 后门的 ClawHub 技能。公司的核心代码、客户数据、内部通信记录被打包发走。

还有一个你可能不知道的连锁反应：预计到2026年第三季度，网络保险将明确排除 AI 代理相关的安全事件，除非企业能证明已实施特定控制措施。97% 报告了 AI 相关安全事件的组织缺乏适当的访问控制。也就是说，如果你的公司因为员工私自部署 OpenClaw 导致数据泄露，保险可能不赔。

---

如果你一定要用，这是一份能救你的配置清单

Steinberger 推动了和 Google VirusTotal 合作扫描 ClawHub 技能、建立漏洞报告流程、每日重扫活跃技能。他甚至直接聘用了发现关键漏洞的安全研究员。这些值得尊重。但下面的配置是你自己必须做的。这不是建议，这是生存底线。

立即更新到 v2026.1.29 或更高版本。 CVE-2026-25253 在这个版本中被修复。如果你运行的是任何更早的版本，你的实例现在就处于可被一键攻破的状态。

然后轮换所有凭据。 如果你在漏洞修复前使用过 OpenClaw 并且访问过任何不受信的网页，假设你的所有 API 令牌已经泄露。OpenAI、Claude、Google AI，全部轮换。

部署到隔离环境。 不要在你的主要工作电脑上运行。用一台专用设备、VPS 或虚拟机。DigitalOcean 提供了一周加固了安全镜像的一键部署方案。如果用 Docker，加上这些参数：--read-only（防止写文件系统）、--security-opt=no-new-privileges（防止提权）、--cap-drop=ALL（移除所有 Linux 能力）。

封锁网络。 永远不要把 OpenClaw 的端口（默认 18789）暴露到公网。用 Tailscale 建立私有加密隧道。如果必须公网访问，放在 NGINX 反向代理后面，配置强认证和速率限制。在网关配置中确认 auth 不是 none。限制出站网络只允许访问必要的 API 端点（OpenAI、Anthropic），阻断所有其他互联网访问以防止数据外传。

把沙盒模式开到最严格。 OpenClaw 的 sandbox.mode 设置控制哪些会话运行在沙盒中。设为 non-main（沙盒化群聊和外部频道）或 all（沙盒化所有会话，最安全但增加延迟）。限制高风险工具 exec、browser、web_fetch、web_search 只允许受信代理使用。

凭据管理用代理方案。 不要让 OpenClaw 直接处理 API 令牌。使用 OAuth 代理方案（如 Composio）来隔离敏感凭据。配置短期会话令牌而不是永久凭据。OpenClaw 被发现会在本地配置文件中以明文存储凭据。

对接聊天应用时封锁权限。 不要让你的 OpenClaw 机器人加入有陌生人的公开频道。限定只接受特定用户 ID 的指令。在所有集成的账号上开启多因素认证。

打开审计日志。 监控 OpenClaw 执行的每一个操作。关注异常的配置变更和命令执行。把所有从不受信来源获取的链接、附件和粘贴的指令默认视为恶意。

---

16万 Star 不等于安全

16万 GitHub Star，200万周访客。OpenClaw 是2025年增长最快的开源项目之一。

但 Star 数量衡量的是流行度，不是安全性。高流行度让 OpenClaw 成了一个更有吸引力的攻击目标。骗子选择它来挂假代币，恶意软件作者选择在 ClawHub 投放后门，都是因为用户基数足够大。

OpenClaw 揭示了 AI 代理品类的一个根本困境。用户价值来自于最大化权限。安全风险也来自于最大化权限。这两者之间没有调和空间。

你不能对一个 AI 代理说"你可以帮我管理邮件，但不准读我的邮件"。你不能说"你可以帮我执行代码，但不准执行恶意代码"。因为它区分不了。它是非确定性的。同样的指令在不同上下文中可能产生完全不同的行为。

2月9日的 Twitter 上，一个用户注意到自己的账号在发布加密货币广告。他的第一反应不是"我被黑了"，而是"是不是 OpenClaw 干的"。当用户已经不信任自己安装的 AI 代理了，这个品类的信任根基就出了问题。

上面那份配置清单不能解决根本矛盾。但它能把你从"几乎确定会被攻击"移到"至少不是最容易的目标"。在一个30,000个实例暴露在公网上的生态里，这已经是很大的优势了。

---

数据来源：Forbes, The Hacker News, BleepingComputer, SecurityWeek, Snyk, CrowdStrike, Trend Micro, Bitdefender, ZeroLeaks, DepthFirst, Hunt.io, Cisco, Koi Security, SlowMist, Composio, NIST CVE Database

免责声明：本文不构成投资建议。所有提及的加密货币代币均为已确认的骗局项目。