大家應該都聽過 OpenClaw(前身 Clawdbot / Moltbot)。
這是一個可以本地部署的開源 AI 助理。
它可以連接:
- Telegram
- Signal
- Discord
- Slack
接收指令後,直接操作你的電腦。
而且它能:
- 存取本機檔案系統
- 存取行事曆
- 存取 Email
- 存取瀏覽器
- 透過 Shell 執行 OS 指令
🏢 一旦進入企業環境就更可怕
如果員工把它裝進公司電腦,
並串接 Slack、SharePoint 等企業服務,
那幾乎等於:
👉 自動化指令執行
👉 廣泛檔案存取
👉 過度 OAuth 權限
資安專家甚至稱它為:
2026 年最大內部威脅之一
它幾乎踩中 OWASP Agentic AI Top 10 所有風險。
🧨 已知漏洞問題
🔥 最嚴重漏洞:CVE-2026-25253(CVSS 8.8)
攻擊方式很簡單:
只要 agent 瀏覽攻擊者網站,
或使用者點擊惡意連結,
主要驗證 token 就會外洩。
攻擊者就能:
👉 完整接管 gateway
👉 執行任意指令
已於 2026.1.29 修補。
⚠ 其他問題
- 兩個命令注入漏洞
- 預設關閉身份驗證
- WebSocket 不驗證來源
- Localhost 無條件信任
- Guest Mode 可使用危險工具
- mDNS 洩漏關鍵設定
🔑 明文儲存機密
更誇張的是:
API keys
密碼
整合服務憑證
全部以 明文 存在:
- 設定檔
- 記憶檔
- 聊天紀錄
已經有:
- RedLine
- Lumma
- Vidar
等資訊竊取木馬,
專門新增 OpenClaw 路徑進入「必偷清單」。
🧠 結構性問題(更難修)
即便漏洞修補,
OpenClaw 的設計本身就很危險。
它具備五大風險特徵:
1️⃣ 擁有高權限
2️⃣ 接收不可信資料(Email / Web / Chat)
3️⃣ 無法可靠區分指令與資料(Prompt Injection)
4️⃣ 記憶可被污染(長期影響行為)
5️⃣ 能對外傳送資料(Email / API 外洩)
這五點幾乎是多數 AI Agent 的共通問題。
🏢 對企業的真實風險
即使員工只裝在「私人電腦」,
也仍有風險:
- 私人裝置可能存有公司 VPN
- Email token
- 公司瀏覽器登入資訊
攻擊者可以藉此橫向滲透公司網路。
而且:
透過聊天 app 控制 agent,
攻擊者可以冒用 AI 身分與同事互動。
企業監控系統很難察覺。
🔍 如何偵測 OpenClaw
SOC 可監控:
- ~/.openclaw/
- ~/clawd/
- ~/.clawdbot/
監測:
- Port 3000 / 18789 WebSocket
- mDNS port 5353
- openclaw-gw.tcp 廣播
留意:
- OAuth 新 App ID
- 異常 Node.js User-Agent
- 大量資料抓取行為
🛑 控制 Shadow AI
完全禁止 AI 通常沒用。
員工會偷偷用。
更好的做法是:
✔ 應用程式白名單
✔ 最小權限原則
✔ 定期審核 OAuth
✔ 撤銷過度權限
✔ 不讓使用者長期持有 admin 權限
🤖 若要實驗性部署
必須:
- 放在隔離子網
- 僅允許必要通訊
- 使用短期 token
- 建立專屬 service account
- 詳細記錄 agent 行為
- 使用 SIEM 監控異常
📘 政策與教育
不要只說「禁止 AI」。
要:
- 明確定義可處理資料範圍
- 教育真實案例
- 提供安全替代工具
- 要求 AI 安全基礎課程
「可以用,但有護欄」
比「全面禁止」更有效。
🎯 總結
OpenClaw 不是單純工具。
它是:
👉 高權限
👉 高自動化
👉 高整合度
再加上:
👉 LLM 天生缺陷
在企業環境裡,
這是結構性風險。
資料來源: Key OpenClaw risks, Clawdbot, Moltbot | Kaspersky official blog