OpenClaw暗藏多項漏洞！中國發布國家級「安全警告」

▲OpenClaw近期下載量大增，陸國家互聯網應急中心發佈安全風險警告。（示意圖／CFP）

記者柯振中／綜合報導

中國大陸國家互聯網應急中心近日發佈資安警示指出，人工智慧代理軟體「OpenClaw」（小龍蝦，曾用名 Clawdbot、Moltbot）近期在網路上迅速走紅，不僅下載量大增，許多主流雲端平臺也提供一鍵部署服務。不過，大陸國家互聯網應急中心提醒，該系統預設安全設定較爲薄弱，若使用或部署不當，可能讓駭客取得系統控制權，導致資料外泄或設備遭入侵。

高權限引疑慮

大陸國家互聯網應急中心表示，OpenClaw是一款可透過自然語言指令直接操作電腦的智慧代理程式，爲了完成自動化任務，系統通常會被授予較高權限，包括存取本機檔案系統、讀取環境變數、呼叫外部應用程式介面（API），以及安裝各類擴充功能。

大陸國家互聯網應急中心指出，由於預設安全機制較爲鬆散，一旦遭到攻擊者利用漏洞，可能讓整個系統被完全控制，進而對裝置或資料造成安全風險。

多種攻擊風險

大陸國家互聯網應急中心說，目前已觀察到多項潛在威脅。其中包括「提示詞注入」攻擊，駭客可在網頁中埋入隱藏指令，誘導系統讀取內容後泄露使用者的系統密鑰等敏感資訊。

▲OpenClaw近期下載量大增，陸國家互聯網應急中心發佈安全風險警告。（示意圖／CFP）

此外也存在誤操作風險，若系統誤判使用者指令，可能導致電子郵件或重要資料被刪除。部分擴充功能也被確認爲惡意程式，安裝後可能竊取金鑰或植入後門，使設備淪爲殭屍網路節點。

官方提出建議

截至目前，OpenClaw已被揭露多項中高風險漏洞。大陸國家互聯網應急中心提到，若漏洞遭惡意利用，可能造成系統被遠端操控、隱私資訊與敏感資料外泄。對個人使用者而言，照片、文件、聊天紀錄或支付帳戶資訊都可能遭竊；對金融、能源等關鍵產業，甚至可能導致核心資料外流或系統停擺。

大陸國家互聯網應急中心建議，使用者在部署OpenClaw時應強化網路管控，例如避免將管理端口直接暴露在公網，並透過身分驗證與存取控制進行安全管理，同時妥善保護密鑰資料並建立操作紀錄機制。

另外也建議嚴格管控插件來源，僅從可信管道安裝經簽章驗證的擴充程式，並持續關注官方釋出的安全更新與漏洞修補，及時進行系統升級。