「可信環境」的謬誤
Web3 安全公司 Certik 於 3 月 31 日發布的研究揭露了開源人工智慧(AI)平台 Openclaw 安全邊界的「系統性崩潰」。儘管該框架迅速攀升至超過 300,000 個 Github 星標,但在短短四個月內已累積超過 100 個 CVE 漏洞和 280 個安全公告,造成研究人員所稱的「無界限」攻擊面。
該報告強調了一個根本性的架構缺陷:Openclaw 最初是為「可信的本地環境」所設計。然而,隨著平台人氣激增,用戶開始將其部署在面向網際網路的伺服器上——這是該軟體從未具備處理能力的轉變。
根據研究報告,研究人員識別出多個危及用戶資料的高風險故障點,包括關鍵漏洞 CVE-2026-25253,該漏洞允許攻擊者奪取完整的管理控制權。透過誘騙用戶點擊單一惡意連結,駭客便能竊取身份驗證令牌並劫持 AI 代理。
同時,全球掃描揭露了分布於 82 個國家的超過 135,000 個暴露於網際網路的 Openclaw 實例。其中許多預設停用身份驗證,以明文洩漏 API 金鑰、聊天記錄和敏感憑證。報告還聲稱,該平台用於用戶分享「技能」的儲存庫已被惡意軟體滲透,數百個這類擴充功能被發現捆綁了旨在竊取已儲存密碼和加密貨幣錢包的資訊竊取程式。
此外,攻擊者現在將惡意指令隱藏在電子郵件和網頁中。當 AI 代理處理這些文件時,可能被迫在用戶不知情的情況下外洩檔案或執行未經授權的命令。
Penligent 的首席稽核員表示:「Openclaw 已成為一個案例研究,展示了當大型語言模型不再是孤立的聊天系統,而是開始在真實環境中運作時會發生什麼。它將經典軟體缺陷聚合到具有高度委派權限的執行環境中,使任何單一錯誤的影響範圍都變得巨大。」
緩解措施與安全建議
針對這些發現,專家們敦促開發人員和終端用戶採取「安全優先」的方法。對於開發人員,該研究建議從第一天起就建立正式的威脅模型,強制執行嚴格的沙盒隔離,並確保任何 AI 衍生的子流程僅繼承低權限、不可變的權限。
對於企業用戶,安全團隊被敦促使用端點偵測與回應(EDR)工具來定位企業網路中未經授權的 Openclaw 安裝。另一方面,個人用戶被鼓勵僅在無法存取生產資料的沙盒環境中執行該工具。最重要的是,用戶必須更新至 2026.1.29 版或更高版本以修補已知的遠端程式碼執行(RCE)漏洞。
雖然 Openclaw 的開發人員最近與 Virustotal 合作掃描上傳的技能,但 Certik 研究人員警告這「並非萬靈丹」。在該平台達到更穩定的安全階段之前,業界共識是將該軟體視為本質上不可信任。
常見問題 ❓
- 什麼是 Openclaw? Openclaw 是一個開源 AI 框架,迅速增長到超過 300,000 個 GitHub 星標。
- 為什麼存在風險? 它是為可信的本地使用而建構,但現在被廣泛部署在線上,暴露出重大缺陷。
- 存在哪些威脅? 關鍵 CVE 漏洞、受惡意軟體感染的擴充功能,以及分布於 82 個國家的 135,000 多個暴露實例。
- 用戶如何保持安全? 僅在沙盒環境中執行,並更新至 2026.1.29 版或更高版本。
來源:https://news.bitcoin.com/study-critical-exploit-in-openclaw-allows-full-administrative-hijacking/
