慢霧科技資安長 23pds 警告:缺乏技術基礎的團隊盲目部署 OpenClaw 毫無意義,只是在製造新的漏洞。
(前情提要:第一批 OpenClaw 受害者出現了!安裝小龍蝦前必須瞭解的 4 個安全底線 )
(背景補充:OpenClaw 爆火之後:一隻開源小龍蝦,撬動了哪些美股?)
最近 AI Agent(人工智慧代理)的開源項目 OpenClaw 被許多人視為「自動化金礦」。然而,慢霧科技資安長 23pds 於今(11)早發出警告:若不具備技術基礎,只想蹭熱度跟風部署,收穫的可能不是財富,而是暴露在極高風險下的災難。
OpenClaw 是一种筛选器,具备算力与安全能力的企业,会把它变成生产力. 而缺乏技术基础的团队,只会把它变成新的风险。想浑水摸鱼的企业、蹭热度的个人,应先审视自己的真实需求。如果原本业务体系和安全能力都一塌糊涂,就不必盲目跟风。
真正的机会,永远属于懂行者而不是投机者。
— 23pds (山哥) (@im23pds) March 11, 2026
OpenClaw 是雙面刃:機會與漏洞並存
23pds 在 X 平台發文指出,OpenClaw 對於具備安全能力的公司而言,確實能轉化為生產力工具。但對於系統基礎「一塌糊塗」的團隊,盲目跟風毫無意義,只是在製造新的漏洞。
同時他提到,從技術門檻來看,運行 7B-14B 模型至少需配備 NVIDIA RTX 3060/4060 以上顯卡(顯存 ≥ 8GB),記憶體建議 32GB 以上。若選擇雲端 API(如 Claude),每月 Token 費用可能高達數十至數百美元。
這些成本對於缺乏技術評估能力的投機者而言,往往被低估。
三大資安威脅:從惡意安裝包到 AI 幻覺
目前 OpenClaw 常被點出有以下三大安全威脅:
首先是惡意安裝包入侵。目前已發現不少偽裝成「openclawai」的惡意 npm 包,專門竊取加密錢包私鑰與 Apple Keychain 中的敏感資訊。市面上流通的「U盤版」也可能夾帶惡意 Skills,一旦安裝即授予駭客高權限存取系統底層的能力。
其次是搜尋結果投毒。駭客針對 Bing 等搜尋引擎進行 SEO 投毒,讓想下載 OpenClaw 的用戶誤入偽造網站,進而下載含有後門的程式。
第三是AI 幻覺風險。曾有案例顯示,AI Agent 因幻覺產生虛假的倉庫 ID,導致開發過程中出現「部署偏移」,讓整個專案偏離預期軌道。
OpenClaw 的崛起標誌著 AI 代理時代的進步,但技術熱度不應掩蓋基本的資安常識。守住私鑰與系統權限,比跟風任何開源項目都來得重要,畢竟看不懂的代碼,就是資產最大的威脅。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
幣圈最瞎劫案?駭客鑄造10億鎂DOT幣,但只偷到23萬鎂
駭客利用 Hyperbridge 跨鏈橋漏洞鑄造10億枚 Polkadot (DOT) 代幣,名義價值超11.9億美元,但因流動性不足,最終僅套現約23.7萬美元。攻擊是因為智能合約未正確驗證訊息,讓駭客成功竊取管理權並鑄幣。事件突顯市場流動性在套利成功中的關鍵角色。
CryptoCity4小時前
假冒 Ledger Live App 從跨多個區塊鏈的 50+ 名用戶竊取 950 萬美元
在蘋果的 App Store 上出現一款竄改的 Ledger Live 應用,透過竊取錢包資訊,從超過 50 名用戶手中詐走了 950 萬美元。這起事件牽涉重大損失,影響到主要投資人,引發人們對 App Store 安全性的擔憂,並促使外界討論可能對 Apple 提起訴訟。
GateNews5小時前
遭批凍結USDC速度太慢!Circle CEO:一定等法院命令才凍,拒絕私自凍結
Circle 執行長 Jeremy Allaire 表明,除非接獲法院命令或執法要求,否則公司不會主動凍結錢包位址。即便面臨駭客洗錢爭議與社群抨擊,Circle 仍堅持遵循法治原則營運。
Jeremy Allaire 確立 Circle 執法底線
-----------------------------
在全球加密貨幣市場風起雲湧之際,穩定幣發行商 Circle 的執行長 Jeremy Allaire 於南韓首爾的一場記者會上,針對市場最敏感的「資產凍結」議題發表了明確立場。他指出,Circle 雖然擁有技術手段可以凍結特定錢包位址,但除非收到法院命令或執法部門的正式指示,否則公司不
CryptoCity7小時前
攻擊者利用橋接版波卡漏洞將 $269K 轉移到 Tornado Cash
4月15日,Arkham 報告稱,利用 Bridged Polkadot 漏洞的攻擊者已將約 269,000 美元的贓款轉入 Tornado Cash,這使得資產追蹤更加困難。
GateNews7小時前
比特幣開發者提出 BIP 361 以防禦量子運算威脅
比特幣開發者提出了 BIP 361,透過凍結易受影響的地址來保護網路,抵禦量子電腦風險。該提案包含分階段計畫,協助使用者遷移到具備量子安全性的錢包,但也引發了關於使用者控制權與安全性的爭論。
GateNews8小時前
駭客利用 Obsidian 外掛程式,透過區塊鏈 C2 散播 PHANTOMPULSE 木馬程式
Elastic Security Labs 揭露,威脅行為者在 LinkedIn 和 Telegram 上冒充風險投資公司,以部署名為 PHANTOMPULSE 的 Windows RAT,並使用 Obsidian 記事本保管庫(note vaults)進行攻擊,而 Elastic Defend 已成功阻擋。
GateNews9小時前
