發布編號：OIS-CTI-2026-03-002

情資來源： iThome、Huntress

事件類型：惡意軟體散布、供應鏈/搜尋結果劫持、竊資軟體 (Infostealer)

內容說明：

資安業者 Huntress 發布預警，駭客近期鎖定爆紅的開源 AI 代理專案 OpenClaw（原名 Clawdbot / Moltbot），透過在 GitHub 建立虛假儲存庫並利用搜尋引擎最佳化（SEO）手段，誘騙使用者下載安裝惡意程式。

此攻擊行動同時針對 Windows 與 macOS 用戶。當使用者透過 Bing 等搜尋引擎尋找「OpenClaw Windows」時，搜尋引擎的 AI 助理可能誤導使用者前往惡意的 GitHub 頁面（如 openclaw-installer）。受害者一旦下載並執行偽造的安裝程式（如 OpenClaw_x64.exe 或 .dmg 檔案），將面臨以下威脅：

• 植入竊資軟體： Windows 用戶會感染 Vidar Stealer，macOS 用戶則會感染 AMOS (Atomic Stealer)，藉此竊取瀏覽器帳密、加密貨幣錢包及系統資訊。

• 建立代理伺服器節點（GhostSocks）： 駭客會植入名為 GhostSocks 的惡意程式，將受害電腦變成常駐代理伺服器。駭客可藉此中繼惡意流量，繞過多因素驗證（MFA）與反詐欺檢測。

• 規避偵測技術： 惡意程式使用 Stealth Packer 打包工具，具備記憶體注入（In-memory execution）與 Anti-VM（反虛擬機檢測） 功能，能有效避開傳統資安分析環境。

影響平台：

• Windows 系統： 執行來源不明之 OpenClaw 執行檔。

• macOS 系統： 執行來自非官方 GitHub 儲存庫之 DMG 檔案。

建議措施：

• 認明官方來源： 下載開源軟體前，務必確認 GitHub 儲存庫的星數、建立時間及貢獻者資訊。請僅從專案官方標示的 Release 頁面下載。

• 謹慎對待搜尋建議： 搜尋引擎 AI 助理提供的連結仍可能包含惡意結果，點擊前應仔細檢查網址網域是否異常。

• 加強端點防護： 確保 EDR/AV 工具具備行為偵測功能，監控異常的網路代理行為、排程任務建立或防火牆規則變更。

• 落實權限控管： 避免以管理員權限執行來源未知的安裝程式，並針對 macOS 用戶宣導避免繞過 Gatekeeper 安裝未經簽署的應用程式。

參考連結 ：

https://www.ithome.com.tw/news/174244

https://www.huntress.com/blog/fake-openclaw-installers-distribute-infostealers