自今年初开始，开源AI代理OpenClaw（曾用名Clawdbot和Moltbot）走红，“养龙虾”成为热门话题，黑客也盯上了这波潮流，以提供技能扩展包为名，向用户传播恶意软件。

安全厂商Zscaler发现，从3月起，有人通过恶意技能包DeepSeek-Claw，针对Windows、macOS和Linux用户分发恶意程序，窃取凭证、浏览器Cookie、加密货币钱包以及API密钥等敏感信息。

根据操作系统不同，该恶意包会在Windows系统中通过MSI安装包植入Remcos RAT木马，攻击者利用具有合法数字签名的GoToMeeting可执行文件进行侧载Shellcode，并动态关闭事件追踪（ETW）和反恶意软件扫描接口（AMSI）功能，随后下载并执行最终载荷；在macOS和Linux环境下，攻击者则使用高度混淆的Node.js载荷部署恶意程序GhostLoader，从受感染主机中提取敏感数据。