一項新的研究警告:在研究人員發現關鍵弱點、遭惡意程式感染的擴充功能,以及可能導致提示注入(prompt injection)的風險後,Openclaw 正面臨系統性資安崩潰。該風險使攻擊者得以竊取資料或劫持系統。
由 Web3 資安公司 Certik 於 3 月 31 日發布的研究,揭開了 Openclaw 內部安全邊界所遭遇「系統性崩潰」的面紗。Openclaw 是一個開源的人工智慧(AI)平台。儘管它迅速躍升,累積超過 300,000 的 Github 讚數(stars),該框架在短短四個月內就累積了超過 100 個 CVE 及 280 則安全公告;研究人員稱這造成了「無邊界(unbounded)」的攻擊面。
報告指出了一個根本性的架構缺陷:Openclaw 原本是為「可信的本機環境」而設計。然而,隨著平台的受歡迎程度暴增,使用者開始把它部署到面向網際網路的伺服器上——這種轉變是該軟體原本就無法應對的。
根據研究報告,研究人員識別出多個高風險失效節點,危及使用者資料,包括關鍵弱點 CVE-2026-25253。該弱點允許攻擊者取得完整的系統管理控制權。透過誘使使用者點擊單一惡意連結,駭客即可竊取驗證(authentication)憑證令牌,並劫持 AI 代理(agent)。
同時,全球掃描顯示在 82 個國家中存在超過 135,000 個對外開放(internet-exposed)的 Openclaw 實例。其中許多預設停用了驗證機制,導致 API 金鑰、聊天歷史以及敏感憑證以純文字形式外洩。報告亦指出,平台中供使用者分享「技能(skills)」的程式庫已遭惡意程式滲透,研究人員在其中找到了數百個擴充功能;這些擴充功能捆綁了用於竊取資訊的程式(infostealers),用來竊取已保存的密碼與加密貨幣錢包。
此外,攻擊者如今正把惡意指令隱藏在電子郵件與網頁之中。當 AI 代理處理這些文件時,可能在未告知使用者的情況下被迫外洩檔案,或執行未經授權的指令。
「Openclaw 已成為一個案例,說明大型語言模型(large language models)一旦不再被隔離在聊天系統內,而是開始在真實環境中運作,會發生什麼事。」來自 Penligent 的一位資深稽核員表示。「它把經典軟體缺陷彙總到一個具高度委派權限的運行時(runtime)中,使得任何單一錯誤的爆炸半徑(blast radius)都會變得非常巨大。」
針對這些發現,專家正敦促開發者與終端使用者採取「以安全為先(security-first)」的做法。對於開發者,研究建議從第一天起建立正式的威脅模型(threat models),強制執行嚴格的沙盒隔離,並確保任何由 AI 產生(spawned)的子程序(subprocess)只繼承低權限且不可變(immutable)的權限。
對於企業使用者,安全團隊被敦促使用端點偵測與回應(endpoint detection and response, EDR)工具,在公司網路中定位未經授權的 Openclaw 安裝。另一方面,也鼓勵個別使用者只在沙盒化環境中執行該工具,且完全不接觸正式(production)資料。最重要的是,使用者必須更新到版本 2026.1.29(含)或更新版本,以修補已知的遠端程式碼執行(RCE)缺陷。
儘管 Openclaw 的開發者最近與 Virustotal 合作,用於掃描上傳的技能(skills),Certik 的研究人員警告這「並非萬靈丹(no silver bullet)」。在平台進入更穩定的安全階段之前,業界共識是要把該軟體視為本質上不可信。
