OpenClaw(前身為 Clawdbot、Moltbot)近月迅速竄紅,但中國工業和資訊化部旗下國家漏洞資料庫(NVDB)早於今年 2 月發出安全警告,CGTN 等官媒亦相繼跟進報道。中國當局更於 3 月上旬再度發出第二次正式警告,指出 OpenClaw 在設定不當情況下,可能導致用戶資料外洩,甚至令系統遭黑客完全掌控。
OpenClaw 是一款開源 AI 智能助理框架,支援 macOS、Windows 及 Linux 平台,可連結 OpenAI、Anthropic 等雲端模型,亦支援本地模型運作,能夠自動執行包括處理電郵、管理日曆及系統指令在內的各類任務。NVDB 指出 OpenClaw 具備自行持續運作、自行決策、調用系統和外部資源等特性,在部署時存在「信任邊界模糊」問題。在缺乏有效權限控制、審計機制及安全加固的情況下,可能因指令誘導、設定缺陷或被惡意接管,造成訊息外洩或系統被他人掌控。
SonicWall 網絡安全機構揭露 OpenClaw 存在高危漏洞 CVE-2026-25253,影響 2026.1.29 版本以前的所有版本,CVSS 評分高達 8.8。此漏洞源於程式在處理 gatewayUrl 參數時缺乏驗證,攻擊者只需誘使用戶點擊一條惡意連結,程式便會自動建立 WebSocket 連線至攻擊者控制的伺服器,傳送用戶認證金鑰,令黑客得以遠端執行程式碼,幾乎取得受害者電腦的完全控制權。OpenClaw 開發團隊已於 2026.1.29 版本推出修補程式,初步加入確認提示,後續更新則引入嚴格來源驗證機制,用家務必盡快升級至最新版本。
彭博引述人士指出,大型國有銀行及部分政府部門完全禁止員工在辦公電腦或使用公司網絡的個人手機安裝 OpenClaw,軍隊家屬亦受類似限制。 部分機構允許經報備批准後使用,但須嚴格隔離運行環境。 經濟日報報道,此舉源於官方擔憂資安風險,繼 MIIT NVDB 2 月警告後,中央監管部門正試圖控制 AI 發展帶來的隱患。
1Password 安全研究員 Jason Meller 上月於 ClawHub 技能市集發現,當時下載量排名第一的「Twitter」技能,實為一套偽裝成正常教學的惡意程式。其攻擊流程分多個階段執行:技能引導用戶安裝名為「openclaw-core」的所謂「必要依賴套件」,附帶的連結會跳轉至惡意基礎設施,下載並執行混淆過的惡意指令碼,最終植入一個刻意移除 macOS 隔離屬性的可執行檔,繞過內建防惡意軟件系統 Gatekeeper 的掃描,在用戶毫不知情下安裝到電腦。經 VirusTotal 確認,該可執行檔為 macOS 資料竊取惡意軟件,可靜默竊取瀏覽器 session、已儲存密碼、開發者 SSH 金鑰及 API 金鑰等高價值資料。此後更有報道指涉及散播惡意軟件的技能多達數以百計,確認事件屬於有組織的蓄意攻擊行動,而非個別漏洞。
資料來源:CGTN、1Password、SonicWall、聯合報