小心！ClawHub 藏了 1184 個惡意技能：竊取加密錢包私鑰、SSH 金鑰、瀏覽器密碼…

OpenClaw 技能市集被揭露藏有逾千個惡意插件，專門竊取 SSH 金鑰與加密錢包私鑰。AI 工具生態的「信任預設」，正在成為 Web3 最被低估的攻擊面。
（前情提要： 彭博：a16z 何以成為美國 AI 政策背後的關鍵力量？）
（背景補充： Arthur Hayes 最新文章：AI 將引爆信用崩潰，聯準會終將「無限印鈔」點燃比特幣）

本文目錄

• 文字不再只是文字，而是指令
• Moonwell 的 178 萬美元教訓
• 信任的預設值錯了

慢霧創辦人余弦稍早在 X 平台發出警告：OpenClaw 的 ClawHub 技能市集中，約有 1,184 個惡意技能插件，能夠竊取使用者的 SSH 金鑰、加密貨幣錢包私鑰、瀏覽器密碼，甚至建立反向 Shell 後門。排名最高的惡意技能包含 9 個漏洞，下載次數更已達數千。

再次提醒：文本不再是文本，而是指令。玩 AI 这些工具要用独立环境…

Skills 很危险⚠️
Skills 很危险⚠️
Skills 很危险⚠️ https://t.co/GZ3hhathkE

— Cos(余弦)😶‍🌫️ (@evilcos) February 20, 2026

ClawHub 是近期爆紅的 OpenClaw（前身 clawbot） 的官方技能市集。使用者在上面安裝第三方擴充套件，讓 AI 代理執行從程式碼部署到錢包管理的各種任務。

安全公司 Koi Security 在 1 月底率先揭露了這場被命名為「ClawHavoc」的攻擊行動，初步識別出 341 個惡意技能。隨後，獨立安全研究員與 Antiy CERT 將範圍擴大至 1,184 個，涉及 12 個發布帳號。其中一個化名 hightower6eu 的攻擊者，獨自上傳了 677 個套件，超過總數的一半。

換句話說，一個人就汙染了整個市集過半的惡意內容，而平台的審核機制完全沒有攔住。

文字不再只是文字，而是指令

這些惡意技能的手法並不粗糙。它們偽裝成加密貨幣交易機器人、Solana 錢包追蹤器、Polymarket 策略工具、YouTube 摘要器，配有專業文件說明。而真正的殺招藏在 SKILL.md 檔案的「前置條件」區段：指引使用者從外部網站複製一段混淆處理的 Shell 腳本，貼到終端機執行。

這段腳本會從 C2 伺服器下載 Atomic Stealer（AMOS）一款月費 500 至 1,000 美元的 macOS 資訊竊取工具。

AMOS 的掃描範圍涵蓋瀏覽器密碼、SSH 金鑰、Telegram 對話紀錄、Phantom 錢包私鑰、交易所 API 金鑰，以及桌面和文件資料夾中的所有檔案。攻擊者甚至註冊了多個 ClawHub 的拼寫變體（clawhub1、clawhubb、cllawhub）進行域名仿冒，而兩個 Polymarket 主題的技能更包含反向 Shell 後門。

惡意技能的文件中還嵌入了 AI 提示詞指令，設計用來欺騙 OpenClaw 代理本身，讓 AI 反過來「建議」使用者執行惡意命令。余弦的總結一針見血：「文字不再只是文字，而是指令。」使用 AI 工具時，應該使用獨立環境。

這正是問題的核心。當使用者信任 AI 的建議，而 AI 的建議來源被汙染時，整條信任鏈就斷了。

Moonwell 的 178 萬美元教訓

余弦在同一則警告中特別提到了另一起事件：DeFi 借貸協議 Moonwell 在 2 月 15 日因預言機錯誤產生了 178 萬美元的壞帳。

問題出在一段計算 cbETH 美元價格的程式碼，它忘了將 cbETH/ETH 的匯率乘以 ETH/USD 的價格，導致 cbETH 被定價為約 1.12 美元而非實際的 2,200 美元。清算機器人隨即掃過所有以 cbETH 作為抵押品的倉位，181 名借款人損失約 268 萬美元。

區塊鏈安全審計師 Krum Pashov 追查發現，這段程式碼的 GitHub 提交紀錄標註了「Co-Authored-By: Claude Opus 4.6」。NeuralTrust 的分析精準描述了這個陷阱：「程式碼看起來是對的，能編譯，也通過了基本單元測試，但在 DeFi 的對抗性環境中徹底失敗。」

更值得警惕的是，人工審查、GitHub Copilot 和 OpenZeppelin Code Inspector 三道防線全數未能發現那個缺失的乘法步驟。

社群將這起事件稱為「Vibe Coding 時代的重大安全事故」。余弦引用這個案例的用意很明確：Web3 的安全威脅已經不再侷限於智能合約本身，AI 工具正在成為新的攻擊面。

信任的預設值錯了

OpenClaw 的創辦人 Peter Steinberger 已經實施社群檢舉機制，達 3 次舉報即自動隱藏可疑技能。Koi Security 也發布了掃描工具 Clawdex，但這些都是亡羊補牢。

根本問題在於，AI 工具生態系統的預設是「信任」，信任上架的技能是安全的、信任 AI 的建議是正確的、信任生成的程式碼是可靠的。當這個生態系統管理的是加密錢包和 DeFi 協議時，預設值錯了，代價就是真金白銀。

備註：VanEck 的數據顯示，2025 年底加密領域已有超過 1 萬個 AI 代理，預計 2026 年將突破 100 萬。