网络安全研究人员发现了一波针对OpenClaw开发者的复杂加密货币钓鱼诈骗,这一现象与软件行业中“vibe coding”实践的迅猛发展息息相关。根据以色列网络安全公司OX Security的详细报告,恶意行为者利用GitHub的协作特性,伪装成合法项目,从无辜开发者的钱包中窃取数字资产。这一令人担忧的趋势标志着加密安全威胁的显著升级,尤其是在越来越多的开发者接受AI辅助的自然语言编程时。
针对OpenClaw开发者社区的钓鱼诈骗
该钓鱼活动通过多阶段欺骗策略开展,起始于GitHub平台。诈骗者创建与OpenClaw代码库和文档高度相似的假冒版本,随后发起拉取请求或提出问题,提及虚假的“CLAW”代币空投。这些恶意消息将开发者引导至精心仿造的OpenClaw界面的钓鱼网站。虚假网站诱导用户连接包括MetaMask、WalletConnect和Trust Wallet等流行的加密货币钱包,以便声称领取承诺的代币。
一旦开发者连接钱包并授予交易权限,攻击者便会立即窃取所有可访问的资产。安全分析师指出,这些钓鱼网站运用先进技术绕过通常的安全警告,包括SSL证书和与合法地址极为相似的域名。该活动的时机恰逢开发者对OpenClaw在AI辅助编码工作流中的能力兴趣的增加。
Vibe Coding的兴起及其安全隐患
Vibe coding,即通过自然语言提示生成代码的AI助手使用方式,已在2024年及2025年期间彻底改变了软件开发工作流。这种方法允许开发者以对话语言描述所需的功能,而AI系统则将这些描述转化为功能代码。尽管大幅加快了开发周期,但这种方法也引入了新的安全漏洞,恶意行为者正是利用这些漏洞进行攻击。
安全专家识别出与vibe coding环境相关的若干特定风险:
vibe coding实践与加密货币开发交汇,创造了特别危险的环境。参与区块链项目的开发者在测试和部署阶段往往管理大量数字资产,因此成为了复杂钓鱼活动的诱人目标。
OpenClaw钓鱼机制的技术分析
OX Security的技术分析揭示了这一钓鱼操作的复杂架构。攻击者采用多域基础设施,具备以下特征:钓鱼网站利用修改过的Web3.js库。