OpenClaw 爆火之后,AI Agent 与虚拟货币犯罪

2026年年初，当OpenClaw这个开源AI agent以迅雷不及掩耳之势登上GitHub热榜——短短数周星标数突破19万，成为国内街头巷尾“养龙虾”的国民现象时，全世界都沉浸在“AI终于能自主干活”的狂热拥抱中。开发者用它跨App编排任务，企业用它自动化交易，普通人付费花钱请人本地部署，其价格也从一开始的几百元回落到现在的几十元。

但几乎是同一时间，安全圈却在密集输出专业警示：ClawHub——OpenClaw的官方技能市场，已沦为恶意插件的温床。

这个世界太适合自动化了：钱包可以程序化签名，DEX 可以自动交易，跨链桥可以实时跳转，地址可以批量轮换，资产可以瞬间分拆。对 AI agent 来说，这不是一个需要慢慢摸索的环境，而是一个天然可以接管流程、压缩时间、放大规模的环境。

很多人以为，AI agent 与虚拟货币犯罪，是最近才出现的话题。

其实不是。

真正的信号，早在 2025 年 Bybit 被盗之后，就已经出现了。

2025 年 2 月，Bybit 遭遇了加密行业历史上规模最大的黑客事件之一。如果我们把这起案件仅仅理解成“又一个大黑客事件”，那就低估了它。Bybit 真正值得深挖的地方，在于它展现出一种几乎接近“工业化流水线”的链上洗钱逻辑：大额资金迅速拆分，多地址并行转移，桥接与兑换同步推进，整个过程高度连续，几乎不给人工研判留出舒适窗口。

这就是问题的关键。

犯罪分子窃取约15亿美元ETH后，并非手动操作洗钱，而是借助早期自动化脚本与AI辅助工具，实现了秒级资金分拆、跨链桥最优路由和DEX流动性池隐藏，整个过程让传统AML监控几近失效。

因为从技术上说，这种高效率链上转移流程，正是 AI agent 最容易接手、最容易放大的那一类流程。

一个真正接入链上犯罪AI agent，可以做什么？

• 它可以在收到目标后，自动决定先拆成多少份；

• 可以根据实时流动性决定先走哪条桥；

• 可以根据费用和滑点切换 DEX；

• 可以在地址层面做看似随机、实则策略化的分发；

• 甚至可以根据链上反馈动态修改下一步路径。

OpenClaw 爆火之后，很多人先看到的是“未来入口”。

它代表了一种很有吸引力的想象：AI 不再只是回答问题，而是直接替你执行任务；不再只是一个聊天框，而是一个可连接邮箱、文件系统、消息平台、第三方应用和各类工具链的“数字执行者”。这种能力一旦成熟，的确可能重塑办公、服务、自动化运维乃至交易流程。近期媒体和产业报道都把 OpenClaw 描述为推动 AI agent 竞赛加速的重要力量。

但安全视角下，问题几乎立刻就出现了。

因为 AI agent 一旦能调用真实工具，就意味着它也会继承这些工具背后的真实权限。安全圈有一句玩笑话：“熊猫烧香生错了时代”。

而权限一旦外放，就会引出几个经典问题： 谁给的权限？ 权限边界在哪里？ 执行过程是否可审计？ 系统会不会被诱导、污染、投毒、劫持？ 一旦连上钱包或私钥环境，又会发生什么？

Permiso、Straiker、Antiy 等多个安全研究都指出，ClawHub 这类技能市场本身就可能成为恶意技能传播、私钥窃取、加密骗局扩散和代理链路污染的温床。

根据TRM Labs《2026 Crypto Crime Report》，2025年非法加密货币流动量达到创纪录的1580亿美元，同比增长145%。其中，AI-enabled诈骗活动同比增长约500%，诈骗相关损失约300亿美元。AI驱动的诈骗盈利能力是传统诈骗的4.5倍，60%的诈骗钱包入金来自AI驱动骗局。

2026年2月，攻击者BobVonNeumann（ClawHub别名26medias）在ClawHub上传“bob-p2p”技能，伪装成去中心化API市场，通过Moltbook这个AI agent社交平台扩散。恶意技能“bob-p2p”通过Moltbook病毒式传播，伪装成“clean marketing”。一旦被其他OpenClaw agent下载并执行：

1. 强制将Solana钱包私钥明文存储（直接暴露给攻击者）；

2. 自动购买无价值$BOB代币并将资金转入攻击者控制地址。

截至发稿，该攻击仍活跃，已导致数百恶意技能被发现，近7000次下载，Crypto钱包直接被清空。这不是孤例：研究者发现ClawHub内数百恶意技能形成“ClawHavoc”协同行动，针对macOS/Windows上的持续运行agent（常见于企业Mac mini服务器）。

商务微信

商务洽谈：186-1020-2454