BTC123( btc123.APP )：慢雾创办人余弦稍早在X平台发出警告：OpenClaw的ClawHub技能市集中，约有1,184个恶意技能插件，能够窃取使用者的SSH金钥、加密货币钱包私钥、浏览器密码，甚至建立反向Shell后门。排名最高的恶意技能包含9个漏洞，下载次数更已达数千。

ClawHub是近期爆红的OpenClaw(前身clawbot)的官方技能市集。使用者在上面安装第三方扩展套件，让AI代理执行从代码部署到钱包管理的各种任务。

安全公司Koi Security在1月底率先揭露了这场被命名为「ClawHavoc」的攻击行动，初步识别出341个恶意技能。随后，独立安全研究员与Antiy CERT将范围扩大至1,184个，涉及12个发布帐号。其中一个化名hightower6eu的攻击者，独自上传了677个套件，超过总数的一半。

换句话说，一个人就污染了整个市集过半的恶意内容，而平台的审核机制完全没有拦住。

文字不再只是文字，而是指令

这些恶意技能的手法并不粗糙。它们伪装成加密货币交易机器人、Solana钱包追踪器、Polymarket策略工具、YouTube摘要器，配有专业文件说明。而真正的杀招藏在SKILL.md档案的「前置条件」区段：指引使用者从外部网站复制一段混淆处理的Shell脚本，贴到终端机执行。

这段脚本会从C2服务器下载Atomic Stealer(AMOS)一款月费500至1,000美元的macOS信息窃取工具。

AMOS的扫描范围涵盖浏览器密码、SSH金钥、Telegram对话记录、Phantom钱包私钥、交易所API金钥，以及桌面和文件资料夹中的所有档案。攻击者甚至注册了多个ClawHub的拼写变体(clawhub1、clawhubb、cllawhub)进行域名仿冒，而两个Polymarket主题的技能更包含反向Shell后门。

恶意技能的文件中还嵌入了AI提示词指令，设计用来欺骗OpenClaw代理本身，让AI反过来「建议」使用者执行恶意命令。余弦的总结一针见血：「文字不再只是文字，而是指令。」使用AI工具时，应该使用独立环境。

这正是问题的核心。当使用者信任AI的建议，而AI的建议来源被污染时，整条信任链就断了。

Moonwell的178万美元教训

余弦在同一则警告中特别提到了另一起事件：DeFi借贷协议Moonwell在2月15日因预言机错误产生了178万美元的坏帐。

问题出在一段计算cbETH美元价格的代码，它忘了将cbETH/ETH的汇率乘以ETH/USD的价格，导致cbETH被定价为约1.12美元而非实际的2,200美元。清算机器人随即扫过所有以cbETH作为抵押品的仓位，181名借款人损失约268万美元。

区块链安全审计师Krum Pashov追查发现，这段代码的GitHub提交记录标注了「Co-Authored-By：Claude Opus 4.6」。Neural Trust的分析精准描述了这个陷阱：「代码看起来是对的，能编译，也通过了基本单元测试，但在DeFi的对抗性环境中彻底失败。」

更值得警惕的是，人工审查、GitHub Copilot和Open Zeppelin Code Inspector三道防线全数未能发现那个缺失的乘法步骤。

社群将这起事件称为「Vibe Coding时代的重大安全事故」。余弦引用这个案例的用意很明确：Web3的安全威胁已经不再局限于智能合约本身，AI工具正在成为新的攻击面。

信任的预设值错了

OpenClaw的创办人Peter Steinberger已经实施社群检举机制，达3次举报即自动隐藏可疑技能。Koi Security也发布了扫描工具Clawdex，但这些都是亡羊补牢。

根本问题在于，AI工具生态系统的预设是「信任」，信任上架的技能是安全的、信任AI的建议是正确的、信任生成的代码是可靠的。当这个生态系统管理的是加密钱包和DeFi协议时，预设值错了，代价就是真金白银。

备注：VanEck的数据显示，2025年底加密领域已有超过1万个AI代理，预计2026年将突破100万。