OpenClaw 技能市集被揭露藏有逾千個惡意插件，專門竊取 SSH 金鑰與加密錢包私鑰。AI 工具生態的「信任預設」，正在成為 Web3 最被低估的攻擊面。
（前情提要：彭博：a16z 何以成為美國 AI 政策背後的關鍵力量？）
（背景補充： Arthur Hayes 最新文章：AI 將引爆信用崩潰，聯準會終將「無限印鈔」點燃比特幣）

本文目錄

文字不再只是文字，而是指令
Moonwell 的 178 萬美元教訓
信任的預設值錯了

慢霧創辦人余弦稍早在 X 平台發出警告：OpenClaw 的 ClawHub 技能市集中，約有 1,184 個惡意技能插件，能夠竊取使用者的 SSH 金鑰、加密貨幣錢包私鑰、瀏覽器密碼，甚至建立反向 Shell 後門。排名最高的惡意技能包含 9 個漏洞，下載次數更已達數千。

再次提醒：文本不再是文本，而是指令。玩 AI 这些工具要用独立环境…

Skills 很危险⚠️
Skills 很危险⚠️
Skills 很危险⚠️ https://t.co/GZ3hhathkE

— Cos(余弦)😶‍🌫️ (@evilcos) February 20, 2026

ClawHub 是近期爆紅的 OpenClaw（前身 clawbot）的官方技能市集。使用者在上面安裝第三方擴充套件，讓 AI 代理執行從程式碼部署到錢包管理的各種任務。

安全公司 Koi Security 在 1 月底率先揭露了這場被命名為「ClawHavoc」的攻擊行動，初步識別出 341 個惡意技能。隨後，獨立安全研究員與 Antiy CERT 將範圍擴大至 1,184 個，涉及 12 個發布帳號。其中一個化名 hightower6eu 的攻擊者，獨自上傳了 677 個套件，超過總數的一半。

換句話說，一個人就汙染了整個市集過半的惡意內容，而平台的審核機制完全沒有攔住。

文字不再只是文字，而是指令

這些惡意技能的手法並不粗糙。它們偽裝成加密貨幣交易機器人、Solana 錢包追蹤器、Polymarket 策略工具、YouTube 摘要器，配有專業文件說明。而真正的殺招藏在 SKILL.md 檔案的「前置條件」區段：指引使用者從外部網站複製一段混淆處理的 Shell 腳本，貼到終端機執行。

這段腳本會從 C2 伺服器下載 Atomic Stealer（AMOS）一款月費 500 至 1,000 美元的 macOS 資訊竊取工具。

AMOS 的掃描範圍涵蓋瀏覽器密碼、SSH 金鑰、Telegram 對話紀錄、Phantom 錢包私鑰、交易所 API 金鑰，以及桌面和文件資料夾中的所有檔案。攻擊者甚至註冊了多個 ClawHub 的拼寫變體（clawhub1、clawhubb、cllawhub）進行域名仿冒，而兩個 Polymarket 主題的技能更包含反向 Shell 後門。

惡意技能的文件中還嵌入了 AI 提示詞指令，設計用來欺騙 OpenClaw 代理本身，讓 AI 反過來「建議」使用者執行惡意命令。余弦的總結一針見血：「文字不再只是文字，而是指令。」使用 AI 工具時，應該使用獨立環境。

這正是問題的核心。當使用者信任 AI 的建議，而 AI 的建議來源被汙染時，整條信任鏈就斷了。

Moonwell 的 178 萬美元教訓

余弦在同一則警告中特別提到了另一起事件：DeFi 借貸協議 Moonwell 在 2 月 15 日因預言機錯誤產生了 178 萬美元的壞帳。

問題出在一段計算 cbETH 美元價格的程式碼，它忘了將 cbETH/ETH 的匯率乘以 ETH/USD 的價格，導致 cbETH 被定價為約 1.12 美元而非實際的 2,200 美元。清算機器人隨即掃過所有以 cbETH 作為抵押品的倉位，181 名借款人損失約 268 萬美元。

區塊鏈安全審計師 Krum Pashov 追查發現，這段程式碼的 GitHub 提交紀錄標註了「Co-Authored-By: Claude Opus 4.6」。NeuralTrust 的分析精準描述了這個陷阱：「程式碼看起來是對的，能編譯，也通過了基本單元測試，但在 DeFi 的對抗性環境中徹底失敗。」

更值得警惕的是，人工審查、GitHub Copilot 和 OpenZeppelin Code Inspector 三道防線全數未能發現那個缺失的乘法步驟。

社群將這起事件稱為「Vibe Coding 時代的重大安全事故」。余弦引用這個案例的用意很明確：Web3 的安全威脅已經不再侷限於智能合約本身，AI 工具正在成為新的攻擊面。

信任的預設值錯了

OpenClaw 的創辦人 Peter Steinberger 已經實施社群檢舉機制，達 3 次舉報即自動隱藏可疑技能。Koi Security 也發布了掃描工具 Clawdex，但這些都是亡羊補牢。

根本問題在於，AI 工具生態系統的預設是「信任」，信任上架的技能是安全的、信任 AI 的建議是正確的、信任生成的程式碼是可靠的。當這個生態系統管理的是加密錢包和 DeFi 協議時，預設值錯了，代價就是真金白銀。

備註：VanEck 的數據顯示，2025 年底加密領域已有超過 1 萬個 AI 代理，預計 2026 年將突破 100 萬。

免責聲明：本頁面資訊可能來自第三方，不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考，不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證，對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為，價格波動劇烈，您可能損失全部投資本金。請充分了解相關風險，並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見聲明。

以太坊釣魚攻擊奪走 $585K 四位使用者的資金，單一受害者損失 $221K WBTC

以太坊新聞安全事件

協調一致的以太坊釣魚攻擊從四名受害者手中竊走了 $585,000，透過欺騙性連結來利用使用者權限。此事件凸顯了即使在看似具正當性的外衣下，透過社交工程仍可能使資金在短時間內迅速流失。

GateNews54分鐘前

留意簽署內容！Vercel 遭駭勒索 200 萬美元，加密協議前端安全拉警報

地緣政治安全事件

雲端開發平台 Vercel 於 4 月 19 日遭駭客入侵，攻擊者透過員工使用的第三方 AI 工具取得存取權限，並威脅勒索 200 萬美元。雖然敏感數據未被存取，但其他數據可能已遭利用。該事件引發加密社群的安全擔憂，Vercel 目前正進行調查並建議用戶更換金鑰。

鏈新聞abmedia2小時前

KelpDAO 在 Lazarus 集團的 LayerZero 攻擊中失去 $290M

安全事件平台風險

KelpDAO 由於與 Lazarus Group 相關的複雜資安入侵而遭受 $290 百萬美元損失。此次攻擊利用其驗證系統中的設定弱點，並凸顯了倚賴單一點驗證架構的風險。產業專家強調需要強化安全設定與採用多層次驗證，以防止未來再次發生類似事件。

Crypto Frontier3小時前

LayerZero 回應 Kelp DAO 2.92 億事件：指 Kelp 自選 1-of-1 DVN 配置，駭客為北韓 Lazarus

地緣政治執法行動安全事件

LayerZero 針對 Kelp DAO 2.92 億美元遭駭事件發表聲明，指責 Kelp 自選 1-of-1 DVN 配置使事件成為可能，攻擊者為北韓 Lazarus 集團。LayerZero 強調此事件源於配置選擇，並將不再支持此類脆弱設置。此外，責任歸屬仍存爭議，未提供賠償方案。

鏈新聞abmedia3小時前

DeFi 駭客 4 月盜走 6 億美元，Kelp DAO 和 Drift 佔月度損失 95%

安全事件行業報告

2026 年 4 月僅 20 天內，加密協議因駭客攻擊損失超過 6.06 億美元，成為自 2025 年 2 月交易所 14 億美元資料外洩事件以來最嚴峻的單月損失紀錄。KelpDAO 和 Drift Protocol 兩起攻擊合計佔 4 月損失的 95%，以及 2026 年截至目前 7.718 億美元總損失的 75%。

Market Whisper3小時前

Vercel 遭入侵事件與 AI 工具 Context.ai 被入侵相關：對加密前端帶來風險

安全事件

Vercel 確認了一起安全漏洞事件，原因是遭受入侵的 AI 工具導致，進而竊取了員工與客戶資料。此事件對 Web3 生態系構成風險，而攻擊者正試圖以 $2 百萬美元出售被竊資料。Vercel 正與執法機構及事件回應專家處理此事。

GateNews3小時前

留言

0/400

暫無留言