關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
  4. 人工智慧
顯示分類
2026.03.10
事件與威脅/人工智慧
OpenClaw:人工智慧代理安全危機正在上演

您可能已經聽過 OpenClaw 了。這款開源 AI 代理迅速成為 GitHub 史上成長最快的程式碼庫之一,短短幾週內就獲得了超過 13.5 萬顆星。然而,它也引發了 2026 年首個重大 AI 代理安全危機。 Reco 可以幫助您識別您的環境中是否存在 OpenClaw。

OpenClaw現象

‍OpenClaw(曾因商標糾紛而更名為 Clawdbot 和 Moltbot)是由開發者 Peter Steinberger 創建的開源人工智慧代理。與只能回答問題的傳統人工智慧助理不同,OpenClaw 具有自主性。它可以執行 shell 命令、讀寫檔案、瀏覽網頁、發送電子郵件、管理日曆,並在您的數位生活中執行各種操作。

使用者可以透過 WhatsApp、Slack、Telegram、Discord 和 iMessage 等即時通訊平台與 OpenClaw 互動。該代理程式在本地運行,並連接到 Claude 或 GPT 等大型語言模型。其「持久記憶」功能意味著它可以跨會話記住上下文,並隨著時間的推移學習您的偏好和習慣。

它的吸引力顯而易見:一個能代表你採取行動的人工智慧助理。人們甚至購買專用硬件,只為全天候運行 OpenClaw。然而,這種能力也帶來了嚴重的後果,而這些後果很快就顯現出來。

一系列安全漏洞

‍OpenClaw 在短短兩週內迅速走紅,隨後便引發了一系列安全事件,這些事件的範圍和嚴重程度都在不斷升級。這些問題涵蓋了從傳統漏洞到暴露的管理接口,再到惡意技能的傳播。單獨來看,每一項都令人擔憂。而綜合起來,它們則表明,擁有廣泛系統存取權限的人工智慧代理構成了一種全新的風險類別。

  1. 2026年1月27日至29日 - ClawHavoc

‍攻擊者透過 OpenClaw 的公共市場 ClawHub 分發了 335 個惡意技能。這些技能使用專業的文件和諸如「solana-wallet-tracker」之類的無害名稱來偽裝成合法工具,然後指示使用者執行外部程式碼,這些程式碼會在 Windows 系統上安裝鍵盤記錄器,或在 macOS 系統上安裝 Atomic Stealer 惡意軟體。研究人員隨後確認,在 2857 個惡意技能中,共有 341 個受到攻擊,這意味著大約 12% 的註冊表遭到入侵。

  1. 2026年1月30日 - 一片寧靜之地

‍OpenClaw 發布了 2026.1.29 版本,在公開披露之前修復了CVE-2026-25253漏洞。該漏洞允許攻擊者透過惡意連結一鍵執行遠端程式碼。該漏洞利用了 Control UI 對 URL 參數的信任機制,攻擊者無需驗證即可利用該漏洞,從而透過跨站 WebSocket 劫持劫持實例——即使是那些配置為僅監聽本地主機的實例也無法倖免。

  1. 2026年1月31日 - 大規模曝光

‍Censys 發現 21,639 個暴露的實例可透過網路公開訪問,而幾天前這一數字僅為約 1,000 個。美國暴露的部署實例數量最多,其次是中國,據估計,中國約有 30% 的實例運行在阿里雲上。這些配置錯誤的實例被發現洩漏了 API 金鑰、OAuth 令牌和明文憑。

  1. 2026年1月31日 - Moltbook漏洞

‍就在同一周,專為OpenClaw代理商打造的社群網路Moltbook被發現有資料庫安全漏洞,洩漏了3.5萬個電子郵件地址和150萬個代理商API令牌。該平台擁有超過77萬活躍代理商,顯示未經審核的生態系統會如何迅速加劇風險。

  1. 2026年2月3日 - 全面揭露

‍CVE-2026-25253 已公開揭露,CVSS 評分為 8.8。同一天,OpenClaw 發布了三項影響重大的安全公告:一鍵遠端程式碼執行漏洞和兩個命令注入漏洞。安全研究人員證實,受害者造訪單一惡意網頁後,攻擊鏈只需「幾毫秒」即可完成。

這對您的組織為何重要

‍這些技術問題本身就令人擔憂,但更深層的問題是,當員工將個人人工智慧工具連接到企業系統時會發生什麼,而安全團隊往往對此毫不知情。

OpenClaw 可與電子郵件、行事曆、文件和即時通訊平台整合。連接到企業級 SaaS 應用程式(例如 Slack 或 Google Workspace)後,代理可以存取 Slack 訊息和文件、電子郵件、日曆條目、雲端儲存的文件、來自整合應用程式的資料以及用於橫向移動的 OAuth 令牌。

更糟糕的是,代理的持久記憶體意味著它存取的任何資料都會在會話之間保持可用狀態。如果代理隨後被攻破(透過惡意技能、提示注入或漏洞),攻擊者將繼承所有這些存取權限。

這本質上是一種擁有更高權限的影子人工智慧。員工在未經安全團隊知情或批准的情況下,授予人工智慧代理存取企業系統的權限,而每次新的整合都會擴大攻擊面。

在您的環境中識別 OpenClaw

‍傳統安全工具難以偵測人工智慧代理的活動。端點安全工具能夠偵測到進程運行,但無法理解代理程式的行為。網路工具能夠偵測到 API 調用,但無法區分合法的自動化操作和惡意入侵。身分識別系統能夠偵測 OAuth 授權,但不會將人工智慧代理的連線標記為異常。

大局觀

‍OpenClaw 不會消失——即使它消失了,對自主人工智慧代理的需求也意味著會有另一個專案取而代之。生產力提升是實實在在的,員工們無論風險如何都會繼續使用這些工具。安全社群對 OpenClaw 的評價褒貶不一,從「安全噩夢」到「一團糟」都有,但它在 GitHub 上獲得的 135,000 顆星足以說明一點:用戶願意接受這種權衡。

對於安全團隊而言,首要任務是確保可見性。你無法保護你看不見的東西。人工智慧代理代表了一種新型應用,需要採用新的偵測和監控方法——坐等下一次安全事件發生絕非良策。


資料來源:https://www.reco.ai/blog/openclaw-the-ai-agent-security-crisis-unfolding-right-now
 
OpenClaw 作為史上增長最快的開源 AI 代理程式,正引發 2026 年首場重大的 AI 安全危機。