吴说获悉，据慢雾科技首席信息安全官 23pds 提醒引用 MistEye 情报，需警惕名为 “@openclaw-ai/openclawai” 的恶意 npm 包。该包伪装为名为 “OpenClaw Installer” 的合法命令行工具，部署多层攻击链，疑可窃取系统凭证、加密钱包私钥、浏览器数据、SSH 密钥及 Apple Keychain 数据库等敏感信息。