假如你用小龙虾在网上下载过skill的话,你有极高的风险电脑被黑了。
这个悲剧可能是这么发生的。。。
有一天你听说OpenClaw装上skill后,就会变得十分牛逼。
你可能听过Skill有点不安全,OpenClaw也有点不安全,但你想官网Clawhub上应该问题不大,就在那下载一个叫“Polymarket Trading Bot”的skill。
一切都很美好,AI,白花花的银子,开始自动化。直到未来某天你的加密钱包被莫名其妙清空。
为什么是未来某天呢?
那是因为你的加密钱包早就被偷了,只不过黑客等你钱包肥了才下刀。
那么,OpenClaw是哪一步把你卖了?
你是如何被黑的?
假如你给过OpenClaw任何密码,或者在常用机器上安装过。
那么,在你安装那些skill的那一刻,你可能被黑了。
你的OpenClaw为了运行这个skill,自动帮你下载一个zip包。
要运行软件,安装工具挺合理,所以他也没和你提这个事情。
但你不知道的是,它给你下载大名鼎鼎的币圈杀手:AMOS(Atomic macOS Stealer)
它是一个月费 500-1000 美元的恶意软件即服务产品,能窃取 Keychain 密码、60+ 种加密钱包、浏览器数据、Telegram 会话、SSH 密钥等。
你不会在第一时间意识到被黑了,因为AMOS 窃取的数据通常被批量打包出售而不是直接用于盗币,中间可能经过多次转手。
最后黑客耐心得等你最肥时候才收网。
问题来了,我如何确保我没有被黑了?
如何预防和补救是否被黑?
坦白地说,我也不是专家,所以下面仅供参考。
假如碰到了问题,建议联系安全专家。
下面我告诉你如何自检和预防。
如何自检呢?
你在官网Clawhub下载Skill的时候,很大概率被下面这个老哥投毒了。
根据安全人员扫描,clawhub 2月 2日的时候有 587个被投毒的skill。
Oren Yomtov (@orenyomtov)
A day later the number went up to 587 detected malicious skills - keep safe out there!
但问题是如何知道自己的skill是不是有毒的呢?
上面的老哥做了一个这个网站
你输入skill名字或者网站就能判断。
当然你也可以叫你的OpenClaw扫描一下,需要配合提示词,文末我会给出。
最后你需要一个专门查杀AMOS 的软件,我在claude推荐了一个免费的。
还有,最重要的是,假如你OpenClaw安装在本地强烈建议你该密码,做双因子。
如何预防呢?
首先去已经有安全扫描的网站下载:
上面是ClawHub官网,已经接入了安全扫描
其次对于没有安全扫描的网站:
每次安装skill的时候,让好点的AI给你检查一下:
输入我得提示词,要求审核skill:
然后你就会获得一个审核报告:
我写了个提示词,放在我的公众号,后台回复,"杀毒"就能获取。
我之前写过几个相关的教程,喜欢的可以
📝 送你保姆级的Clawdbot 的部署教程(免得在闲鱼买)
你知道部署 Clawdbot 的收费教程,在闲鱼卖多少钱吗? 几个十几元到几元不等。
今天我铁锤就熬夜带你跑通Clawdbot 的本地部署和使用,你拿去赚钱也好,使用也好,随便你。
本次教程主要分为三部:
- 安装...
