OpenClaw AI 代理在嚴重安全漏洞與惡意軟體威脅下仍然爆紅

自主代理（Autonomous Agents）的伊卡洛斯時刻

真正能在你機器上運行、管理行事曆、替你處理郵件並訂票的自主 AI 助理（autonomous AI assistant）承諾，已透過 OpenClaw 的形式實際到來。該開源專案，前稱 Clawdbot 與 Moltbot，在短短數月內就打破 GitHub 成長紀錄，累積超過 149,000 顆星。它承諾成為大型語言模型（large language models）的「雙手」，讓它們能代表使用者執行程式碼並與真實世界互動。

然而，這個承諾已經與資安現實猛烈碰撞。截至 2026 年 2 月 2 日，AI 社群正面臨一場重大安全危機。OpenClaw 被發現含有嚴重漏洞，攻擊者只需一個惡意連結就能完全接管使用者的電腦。資安專家稱之為在本地執行 AI 的「噩夢情境」，並指出一個致命的邏輯缺陷，編錄為 CVE-2026-25253。

對 Creati.ai 團隊而言，這起事件是一記警鐘：匆忙賦予 AI 代理「雙手」時，往往繞過了安全處理資料所需的「手套」。雖然 OpenClaw 的實用性毋庸置疑，但其架構已使數千名早期採用者暴露於遠端程式碼執行（遠端程式碼執行（remote code execution））（RCE）、資料外洩（data exfiltration）以及日益成長、充斥惡意軟體的「技能」生態系統之中。

從 “Moltbot” 到惡意軟體磁鐵

OpenClaw 的發展軌跡可謂混亂。最初由奧地利開發者 Peter Steinberger 以 Clawdbot 名義釋出，因與 Anthropic 的商標爭議而被迫改名。它短暫以 Moltbot 運作，最終定名為 OpenClaw。儘管經歷身分危機，其核心價值主張仍具吸引力：一個在本地運行、擁有自己資料，並可連接 Telegram、Signal、WhatsApp 等熱門通訊應用來執行複雜任務的代理。

不同於運行在雲端的 SaaS 助手，OpenClaw 在使用者的基礎設施上執行——通常是 Mac mini 或家庭伺服器。這種「本地優先（local-first）」做法曾被宣稱是隱私上的勝利。諷刺的是，它反而成為專案的阿喀琉斯之踵。因為在沒有健全沙盒機制的情況下，授予 AI 代理高度系統權限——包括 shell 存取與檔案系統讀寫能力——使用者反而不知不覺把自己的機器變成開放目標。

CVE-2026-25253 利用手法剖析

由 DepthFirst 的 Mav Levin 發現的這個漏洞，是邏輯錯誤如何比記憶體破壞漏洞更危險的一個經典範例。被評為 CVSS 8.8 分，CVE-2026-25253 被描述為一個「導致整個閘道完全妥協的令牌外洩漏洞」。

一鍵式噩夢

該缺陷存在於 OpenClaw 的控制介面如何處理進入連線。應用程式被設計為透過 URL 中查詢字串接受 gatewayUrl 參數。關鍵在於，它信任此參數而未做驗證。

當使用者點擊經精心製作的連結——也許偽裝成「很酷的新代理技能」或一篇共享的 Moltbook 帖文——OpenClaw 介面會自動嘗試與該 URL 指定的伺服器建立 WebSocket 連線。在此過程中，它會在連線載荷中傳送使用者的 authentication token。

攻擊者只需架設一個惡意的 WebSocket 伺服器，並誘使使用者點擊指向該伺服器的連結。一旦連線建立，攻擊者就能擷取該驗證令牌。拿到此令牌後，他們可以冒充使用者的本地閘道。從那裡，該「代理」實際上就替攻擊者工作。他們可以修改代理的設定、停用少量存在的沙盒限制，並呼叫具特權的動作。因為 OpenClaw 被設計為為了「有用性」而執行 shell 指令，攻擊者便能實現一鍵遠端程式碼執行（1-click RCE），進而在受害者機器上執行任意命令。

Steinberger 與維護團隊已在版本 2026.1.29 中釋出修補程式，但由於專案去中心化的性質，仍有數千個實例未修補而暴露風險。

“Moltbook” 現象：機器人網路的游樂場？

加劇這次資安失誤的是專為 AI 代理建立的社交網路 Moltbook 的出現。被標為「代理網際網路的首頁」，它限制發文權限僅給已驗證的 OpenClaw 實例。雖然原意是實驗 AI 與 AI 間的社交互動（甚至催生了一個荒誕的仿宗教現象，稱為「Crustafarianism」），但它迅速淪為惡意軟體傳播的管道。

由於 Moltbook 上的代理會自動閱讀並處理內容以「社交」，它們容易受到提示注入（prompt injection）攻擊。資安研究人員已示範，Moltbook 上的惡意貼文可以包含隱藏指令——人類常看不見但大型語言模型（LLMs）可讀的文字——指示閱讀的代理下載並執行惡意程式碼。

這導致了對「技能（skills）」註冊庫的供應鏈攻擊。類似過去對 NPM 或 PyPI 生態系的攻擊，惡意行為者在發表包含後門的「技能」（用來擴展代理功能的外掛）。正在瀏覽 Moltbook 的代理可能被騙安裝一個名為「Weather Checker」的技能，該技能暗中開啟一個反向 shell（reverse shell）到指揮控制伺服器。

安全 vs. 實用性：Creati.ai 的觀點

OpenClaw 事件揭示了 AI 安全風險的「致命三角（Lethal Trifecta）」：

存取敏感資料：代理可存取電子郵件、行事曆與檔案。
外部暴露：代理處理來自網路與通訊應用的非信任內容。
外部輸出：代理能對外通訊並執行程式碼。

當這三者在缺乏嚴格隔離的情況下結合時，災難不可避免。傳統應用程式倚賴作業系統來強制權限（即「使用者」模型）。然而，OpenClaw 是以使用者身分運行，繞過了這些檢查。如果代理被誘騙，作業系統會視其為該合法使用者執行的一個合法動作。

比較代理架構

Agent Security Architecture Comparison

Feature	OpenClaw (Local/Open Source)	Enterprise Secure Agent Standards
Execution Environment	Host OS（User Level）	Ephemeral Sandboxed Containers
Auth Token Handling	Transmitted in WebSocket Payload	HttpOnly Cookies / Short-lived OAuth
Input Validation	Minimal（Trusts Query Params）	Strict Schema Validation & Sanitization
Tool Permissions	Full Shell Access（Default）	Allowlisted API Calls Only
Network Access	Unrestricted Outbound	Zero Trust Network Access（ZTNA）
Prompt Handling	Direct LLM Injection	Input Filtering & 「Human in the Loop」

OpenClaw 使用者的即時應對步驟

若您正在執行 OpenClaw（或 Clawdbot/Moltbot）實例，Creati.ai 建議立即採取下列補救措施以保護您的基礎設施。

立即更新：確認您正在執行版本 2026.1.29 或更新版本。該版本移除了 gatewayUrl 參數的自動連線邏輯。
輪換憑證：如果您曾在代理運行時點擊過任何連結，請假設您的閘道令牌已被妥協。重新產生您的驗證令牌與 API 金鑰（OpenAI、Anthropic 等）。
隔離執行環境：不要在主要生產機器上執行 OpenClaw。使用專用的虛擬機（VM）或容器，並確保其無法存取您的個人檔案或主要家庭網路。
稽核已安裝的技能：檢查 skills 目錄。移除任何未經稽核或透過 Moltbook 互動自動安裝的第三方技能。
停用 WebSockets：若您不需要透過通訊應用遠端控制，請在設定檔中完全停用 WebSocket 閘道。

自主代理的時代已經來臨，但 OpenClaw 是在便利與安全之間代價慘痛的一課。在架構未能將「代理行為」視為與「非信任程式碼」同等可疑之前，使用者必須保持高度警覺。AI 的「雙手」很有力量，但若沒有束縛，極容易反過來傷害其主人。