Внимание, мошенничество: Фальшивый аирдроп GitHub нацелен на пользователей токена CLAW

Подробности мошенничества
Фальшивая афера с раздачей токенов через GitHub нацелена на пользователей, обещая им токены $CLAW за вклад в GitHub. Согласно источнику, мошенничество работает по следующему механизму:
- Пользователи получают сообщения о том, что они «выбраны» для раздачи $CLAW на основе их активности на GitHub
- Мошенники направляют пользователей подключить свои кошельки через случайную ссылку для общего доступа Google
- Эта ссылка Google перенаправляет на подозрительный сайт .xyz
- Фальшивое обсуждение на GitHub, где пользователей отмечают и они получают электронные письма от GitHub, находится по адресу:
https://github.com/highwayskinkjump/OpenClawEco-4828884/discussions/7
Предупреждение о безопасности
Это идентифицировано как фишинговая афера, опустошающая кошельки. Источник прямо предупреждает:
- НЕ подключайте свой кошелёк к любым ссылкам из этой аферы
- НЕ подписывайте никакие транзакции или разрешения
- Использование ссылки для общего доступа Google с последующим перенаправлением на домен .xyz — распространённая тактика фишинга
Мошенничества с раздачами токенов через GitHub обычно работают, создавая фальшивые репозитории или обсуждения, которые выглядят легитимно, а затем используют систему уведомлений GitHub для охвата потенциальных жертв. Как только пользователи подключают свои кошельки через предоставленную ссылку, мошеннический сайт может запросить разрешения, которые позволяют злоумышленникам опустошать средства.
📖 Прочитайте полный источник: r/openclaw
👀 Смотрите также

Модель безопасности NanoClaw для ИИ-агентов: изоляция контейнеров и минимальный код
NanoClaw реализует архитектуру безопасности, в которой каждый ИИ-агент работает в собственном эфемерном контейнере с непривилегированным доступом пользователя, изолированными файловыми системами и явными списками разрешений для монтирования. Кодовая база намеренно минимальна — около одного процесса и нескольких файлов, полагаясь на Agent SDK от Anthropic вместо воссоздания функциональности.

OpenClaw Skill Analyzer: Статический сканер безопасности для навыков ИИ-агентов
Разработчик создал статический анализатор, который сканирует навыки OpenClaw на наличие угроз безопасности перед установкой, используя более 40 правил обнаружения в 12 категориях, включая инъекцию промптов и эксфильтрацию данных.

KnightClaw: Локальное расширение безопасности для агентов OpenClaw
KnightClaw — это расширение, которое перехватывает сообщения до их попадания к агентам OpenClaw, предоставляя 8-уровневую гибридную систему обнаружения и редактирование исходящих данных. Оно работает полностью локально, без телеметрии, и имеет лицензию MIT.
Безопасность ИИ-агентов: бюджет токенов определяет риск утечки данных
Разработчик протестировал ИИ-агентов, подключенных к Gmail: флагманские модели ловили фишинг, средние были нестабильны, дешевые молча пересылали вредоносные письма. Архитектурные защиты (изоляция, разрешения) не остановили ни одной атаки.