OpenClaw 爆紅:AI 代理的崛起與挑戰
OpenClaw,一款開源 AI 代理工具,因其「龍蝦」之名迅速竄紅,引發全球關注。它能自主執行多種任務,如瀏覽網頁、交易加密貨幣等,展現了 AI 代理技術的巨大潛力。然而,OpenClaw 的爆紅也伴隨著嚴重的資安風險,香港網絡安全事故協調中心 (HKCERT) 等機構已發出最高級別警示,指出其潛在漏洞可能被駭客利用,造成使用者資料外洩,甚至系統被完全控制。
OpenClaw 的核心問題在於其高權限的系統存取能力,一旦被駭,等同於將電腦密鑰交給駭客。根據 Yahoo 新聞的報導,OpenClaw 存在多個高風險漏洞,例如 CVE-2026-25253 漏洞,攻擊者可透過惡意連結或網頁竊取認證權杖,進而執行遠端程式碼。另一個名為 ClawJacked 的漏洞,則允許惡意網站劫持 OpenClaw 代理,取得永久控制權。此外,OpenClaw 的插件商店 ClawHub 也出現了大量惡意插件,可能導致使用者信用卡被盜刷或加密資產被轉走。這些漏洞與風險,突顯了 AI 代理在安全性方面的迫切需求。
針對 OpenClaw 的資安風險,HKCERT 建議使用者遵循「零信任」原則,包括核實下載來源、盡快更新版本、審慎安裝第三方插件,以及警惕代理要求執行高風險操作。此外,企業若要部署 OpenClaw,應將其視為高權限自動化平台管理,並建立「人類確認循環」機制,以降低風險。這些建議,與 Yahoo 新聞中引用的資安專家觀點一致,強調了在享受 AI 代理便利性的同時,必須重視安全防護措施。
OpenClaw 的案例反映出,當軟體具備自主行動力時,其資安層級應等同於作業系統核心。這也意味著,AI 代理的發展,不僅需要技術創新,更需要嚴格的安全管理和風險控制。
OpenClaw 的技術原理與功能
OpenClaw,這款被暱稱為「龍蝦」的開源 AI 代理工具,憑藉其操作瀏覽器、交易加密貨幣等功能,迅速在市場上竄紅,引發了從中國到全球的「養龍蝦」熱潮。然而,伴隨而來的資安風險,卻如同隱藏在深海中的暗礁,隨時可能威脅使用者的數位安全。OpenClaw 的核心功能,使其能自主執行任務,這也意味著它一旦被駭,駭客便能透過它控制使用者的電腦,竊取敏感資訊。
本文參考了 Yahoo 新聞的報導,其中揭露了 OpenClaw 存在的安全漏洞,例如 CVE-2026-25253 和 ClawJacked,這些漏洞允許攻擊者透過惡意連結或網站,遠端執行程式碼,甚至完全控制 OpenClaw 代理。此外,ClawHub 插件商店中也發現了大量惡意技能,偽裝成實用的工具,實際上卻植入了木馬,竊取使用者的金鑰和加密資產。這些資訊與 OpenClaw 的技術原理相互呼應,突顯了其潛在的風險。
報導中也指出,許多使用者未設定密碼或直接暴露於公網,導致 OpenClaw 實例「裸奔」,讓駭客得以輕易入侵。針對這些風險,資安專家建議使用者應謹慎下載和安裝 OpenClaw,並隨時更新至最新版本,以修補已知的漏洞。同時,對於第三方「技能」腳本的安裝也應保持警惕,避免遭受惡意程式的侵害。
OpenClaw 的案例反映出,當 AI 代理具備自主行動力時,其資安層級應等同於作業系統核心。這不僅是對 OpenClaw 的警示,也是對所有 AI 代理工具的提醒。在享受 AI 帶來的便利的同時,我們必須正視其潛在的風險,並採取必要的安全措施,才能確保數位生活的安全。
OpenClaw 的資安漏洞與風險
OpenClaw,這款被暱稱為「龍蝦」的開源 AI 代理工具,憑藉其強大的自主執行能力,在瀏覽器操作、加密貨幣交易、郵件管理等方面迅速竄紅,引發了全球關注。然而,伴隨而來的資安風險,卻如同隱藏在深海中的暗礁,隨時可能威脅使用者的資訊安全。
事件癥結點在於,OpenClaw 具備高權限的系統存取能力,一旦遭受駭客入侵,後果不堪設想。根據 Yahoo 新聞的報導,OpenClaw 的核心漏洞 CVE-2026-25253 允許攻擊者透過惡意連結或網頁,竊取使用者的認證權杖,進而執行遠端程式碼,導致 API 金鑰、聊天記錄、憑證外洩,甚至造成帳單暴增或系統完全失控。另一個名為 ClawJacked 的漏洞,則能讓駭客透過暴力破解 WebSocket 閘道密碼,取得永久控制權,讀取所有聊天記錄、憑證,並執行任意指令。此外,ClawHub 插件商店中充斥著惡意技能,偽裝成「Solana 錢包監控」等工具,實際卻植入木馬、竊取金鑰,導致信用卡盜刷、加密資產被盜等嚴重損失。
這些漏洞的危害,在 Censys 的研究中得到印證,該研究發現,全球有超過 13.5 萬個 OpenClaw 實例直接暴露在公網,未設密碼防護,駭客可直接登入並取得 root 權限。Yahoo 科技的報導也指出,OpenClaw 的五大典型受害情境,包括 AI 代理失控、插件式搶劫、社交平台綁架等,都凸顯了其潛在的資安風險。
為了降低風險,HKCERT 與資安專家建議使用者遵循「零信任」原則,包括核實下載來源、盡快更新版本、審慎安裝第三方「技能」腳本,以及警惕代理要求執行高風險操作。中國工信部也發布國家級風險提示,建議企業建立「人類確認循環」機制,以確保敏感操作的安全。這些建議,與 Yahoo 新聞中引用的資安專家觀點一致,都強調了在使用 OpenClaw 時,必須謹慎小心,才能避免成為駭客的目標。
OpenClaw 的受害情境與案例分析
OpenClaw,這款被暱稱為「龍蝦」的開源 AI 代理工具,憑藉其自主執行能力,在瀏覽器操作、加密貨幣交易、郵件管理等方面迅速竄紅。然而,伴隨而來的資安風險,卻如同隱藏在深海中的暗礁,隨時可能威脅使用者。透過案例分析,揭示 OpenClaw 在不同應用場景下可能面臨的資安風險。
首先,OpenClaw 的「裸奔」實例,全球超過 13.5 萬個實例直接暴露在公網,毫無密碼防護,駭客可輕易登入並取得 root 權限,這無疑是資安防護的嚴重漏洞。其次,AI 代理失控的案例,因語法解析錯誤,導致 AI 誤將公司環境變數(包含私鑰)上傳至公共 GitHub,造成機敏資訊外洩。插件式搶劫的案例也令人警惕,使用者下載「AI 投資助教」插件,卻在背景執行腳本,轉走數百萬元加密資產,造成嚴重財務損失。社交平台綁架的案例中,駭客透過 WhatsApp 介面發送指令,操控受害者的 AI 代理髮送大量釣魚訊息,造成使用者個資外洩。最後,供應鏈攻擊的風險也不容忽視,ClawHub 商店中發現大量惡意技能,偽裝成生產力工具,植入木馬、竊取金鑰,導致信用卡盜刷、加密資產被盜。
這些案例揭示了 OpenClaw 在不同應用場景下可能面臨的資安風險,例如,OpenClaw 容易受到 CVE-2026-25253 等漏洞的攻擊,導致 API 金鑰、聊天記錄、憑證外洩,甚至帳單暴增或系統被完全控制。此外,ClawJacked 漏洞也可能讓惡意網站劫持 OpenClaw AI 代理,取得永久控制權。這些風險都顯示了 OpenClaw 在安全性方面的不足。
本文參考了 Yahoo 新聞、科技新聞等資料,這些資料提供了 OpenClaw 的相關資訊,並對其風險進行了分析。例如,Yahoo 新聞報導了 OpenClaw 的爆紅及其潛在的資安風險,並提供了相關的案例分析。這些資料支持了本文的觀點,即 OpenClaw 在使用過程中存在多種資安風險。這些報導的媒體立場,多半是提醒使用者注意 OpenClaw 的安全風險,並呼籲使用者謹慎使用。
如何安全駕馭 OpenClaw:專家建議與未來展望
在 OpenClaw 掀起熱潮的同時,資安風險也如影隨形。這款被暱稱為「龍蝦」的 AI 代理工具,因其能自主執行多種任務而備受追捧,但也因此成為駭客覬覦的目標。Yahoo 科技的報導指出,OpenClaw 具備高權限的系統存取能力,一旦被駭,後果不堪設想。
事件的癥結點在於,OpenClaw 的便利性與安全性之間存在著明顯的衝突。使用者為了追求 AI 帶來的效率,可能忽略了潛在的資安風險,導致個資外洩、帳戶被盜等問題。這也造成了社會對於 AI 應用安全性的廣泛討論與分歧。
根據 Yahoo 科技的報導,OpenClaw 存在多個高風險漏洞,例如 CVE-2026-25253 和 ClawJacked,攻擊者可透過這些漏洞竊取使用者 API 金鑰、聊天記錄等敏感資訊。此外,ClawHub 插件商店中也充斥著惡意技能,安裝後可能導致信用卡被盜刷、加密資產被轉走等嚴重後果。Censys 的研究更發現,有大量 OpenClaw 實例未設密碼,直接暴露於公網,使得駭客可輕易入侵。
為了應對這些風險,資安專家建議遵循「零信任」原則,審慎安裝第三方插件,並建立人類確認機制。這與 Yahoo 科技報導中 HKCERT 的建議一致,強調了使用者在享受 AI 帶來便利的同時,必須提高警惕,採取必要的安全措施。
OpenClaw 的案例反映出,在 AI 代理技術快速發展的時代,安全問題不容忽視。未來,隨著 AI 應用越來越廣泛,如何平衡便利性與安全性,將成為科技發展的重要課題。
參考閱讀
爆紅龍蝦 AI 易成駭客後門? OpenClaw 真實資安風險實錄,Yahoo Tech • 3 小時前
中國全民瘋養AI「龍蝦」!OpenClaw爆紅 代安裝幾天狂賺百萬元 – 自由財經, 自由時報電子報
OpenClaw催生新職業!「養龍蝦」掀熱潮 安裝師稱幾天內賺120萬│TVBS新聞網, TVBS 新聞
陸OpenClaw用戶「養龍蝦」10天 牠竟在3000人群組裡洩露個資, 聯合新聞網 via Yahoo奇摩新聞
About the Author
![[AI 工具] Question.AI 數學解題與多功能 AI 助理 助你輕鬆學習](https://images.unsplash.com/photo-1579308343343-6557a756d515?q=80&w=2940&auto=format&fit=crop&ixlib=rb-4.0.3&ixid=M3wxMjA3fDB8MHxwaG90by1wYWdlfHx8fGVufDB8fHx8fA%3D%3D "[AI 工具] Question.AI 數學解題與多功能 AI 助理 助你輕鬆學習")