Peter Steinberger, nhà phát triển trợ lý AI mã nguồn mở OpenClaw, đã đưa ra cảnh báo công khai vào ngày 19/03/2026. Anh nhấn mạnh với người dùng rằng tất cả những email liên quan tới tiền số, tuyên bố có liên kết với dự án đều là lừa đảo. Steinberger nhấn mạnh dự án này là “mã nguồn mở và phi thương mại”, đồng thời khuyến nghị mọi người chỉ dựa vào website chính thức và luôn cảnh giác với các dịch vụ thương mại không rõ nguồn gốc.
Sự việc này là diễn biến mới nhất trong chuỗi xung đột kéo dài giữa Steinberger và những người lợi dụng lĩnh vực crypto, những người này đã quấy rối, giả mạo và khai thác dự án OpenClaw từ khi nó trở nên nổi tiếng vào tháng 01/2026.
Airdrop giả nhắm đến các nhà phát triển trên toàn cầu
Cảnh báo trên được đưa ra khi có nhiều lập trình viên thông báo đã nhận được các email giả mạo, với nội dung về chương trình airdrop token $CLAW giả mạo. Các email lừa đảo này được gửi từ các địa chỉ thông báo của GitHub nên dễ đánh lừa người nhận. Nội dung hứa hẹn thưởng 5,000 USD bằng CLAW token và dụ dỗ người dùng đăng ký ví thông qua các đường link Google đáng ngờ.
Các ảnh chụp màn hình được chia sẻ trên X cho thấy, đây là một chiến dịch lừa đảo phối hợp, nhắm mục tiêu hàng loạt lập trình viên trên GitHub với những tin nhắn gần như giống hệt nhau. Email đề cập tới “OpenClaw GitHub Contributors Airdrop” và gửi từ các tài khoản như “ClawFunding” hay “ClawReward”. Mỗi tin nhắn đều liệt kê những “Contributors được chọn” nhằm tạo cảm giác đặc biệt cho người nhận. Một số email còn được dịch sang tiếng Tây Ban Nha, cho thấy chiến dịch này diễn ra ở nhiều khu vực khác nhau.
Chuyên gia bảo mật Aoke Quant nghi ngờ rằng tin tặc đã lấy thông tin lập trình viên trực tiếp từ GitHub để gửi thư hàng loạt. Lập trình viên Daniel Sánchez cũng đồng tình rằng: các lời mời nhận tiền miễn phí, đặc biệt là từ các dự án mã nguồn mở, gần như chắc chắn là lừa đảo. Anh cho biết những dự án như vậy không có lý do gì để trao thưởng bằng crypto.
Nhiều tháng bị quấy rối và một lần đổi thương hiệu thất bại
Làn sóng phishing gần đây không phải là sự việc đơn lẻ mà là bước leo thang trong nhiều tháng quấy rối liên tục. Từ khi OpenClaw (trước đây là Clawdbot) nổi lên vào cuối tháng 01/2026, dự án liên tục trở thành đối tượng tấn công của giới lừa đảo crypto. Thậm chí, có người đã phát hành một memecoin trái phép trên Solana, nhưng đã sụp đến 96% chỉ trong một ngày.
Steinberger đã phải cấm hoàn toàn các cuộc thảo luận về crypto trên máy chủ Discord của dự án. Đồng thời, thông báo trên X của anh bị “ngập lụt” bởi các mã token lạ và tin nhắn spam, khiến anh không thể sử dụng được tài khoản như bình thường.
Mọi việc thêm nghiêm trọng khi Anthropic yêu cầu Steinberger đổi tên bot vì lý do bản quyền thương hiệu. Anh đã đổi tên Clawdbot thành Moltbot, nhưng các đối tượng lừa đảo gần như chờ sẵn để tấn công. Chỉ trong vòng 5 giây sau khi đổi tên, tài khoản gốc đã bị chiếm đoạt để quảng cáo cho token mới. Chúng còn phát tán mã độc từ tài khoản này trước khi Steinberger kịp hoàn tất việc chuyển đổi. Tên người dùng GitHub của anh cũng bị đánh cắp chỉ sau khoảng 30 giây, và bị lợi dụng để phát tán mã độc. Steinberger chia sẻ rằng đây là “hình thức quấy rối trực tuyến tồi tệ nhất” mà anh từng gặp.
Động thái của OpenAI không ngăn chặn được các scammer
Vào tháng 02/2026, OpenAI đã mời Steinberger đảm nhận vị trí lãnh đạo bộ phận AI cá nhân trực thuộc Sam Altman. Steinberger đồng ý, với lý do đây là cơ hội tốt nhất để đưa tầm nhìn của mình đến với đông đảo người dùng. Hiện tại, OpenClaw vẫn là dự án mã nguồn mở nhưng được hỗ trợ bởi nguồn lực và hạ tầng của OpenAI. Tuy nhiên, sự hợp tác này cũng không giúp OpenClaw tránh khỏi sự tấn công của các đối tượng lừa đảo tận dụng thương hiệu nổi tiếng.
Trước đó, công ty bảo mật SlowMist từng cảnh báo các trường hợp Clawdbot rò rỉ API key và lịch sử chat riêng tư. Chuyên gia Jamieson O’Reilly phát hiện nhiều phiên bản chưa xác thực đã khiến hàng trăm thông tin đăng nhập bị công khai trên mạng. Những lỗ hổng này có thể đã cung cấp dữ liệu cho kẻ xấu để thực hiện các cuộc tấn công phishing tinh vi.
Với Steinberger, thông điệp dành cho người dùng luôn nhất quán: sẽ không bao giờ có coin nào cả, bất kỳ tuyên bố nào ngược lại đều là lừa đảo.
