OpenClaw資安風險！解析技能包投毒威脅

OpenClaw 雖能提升效率，卻也帶來嚴重的資安威脅。本文深入剖析 2025-2026 OpenClaw 三大核心威脅與致命的 ClawHavoc 投毒事件，並提供沙箱化隔離等防範與應對策略，助企業防範 AI 代理成為內網新破口！

當企業決定引入 OpenClaw 這種具備「電腦操作能力」的 AI Agent 時，就像是給了一位效率極高、但偶爾會「夢遊」的實習生一把萬能鑰匙。雖然它能極大化自動化生產力，但伴隨而來的安全與管理風險不容忽視。

一、企業面臨的核心風險

(一) 系統安全與失控風險：

OpenClaw 的核心是讓 AI 操作 UI 介面。如果模型發生「幻覺」，將刪除指令誤認為確認指令，或者在自動化腳本中陷入死循環，可能導致重要文件遺失或系統崩潰。更危險的是，若受攻擊者誘導，AI 可能成為企業內網的跳板。

(二) 數據隱私與外洩：

OpenClaw 在運行時會頻繁擷取螢幕截圖並回傳給 LLM（如 Claude）進行分析。這意味著企業的機密報表、客戶資料或員工私密對話，都可能在無意間被傳送至協力廠商伺服器，面臨合規性與洩密風險。

(三) 權限過大（Over-privilege）：

企業環境中，若未對 OpenClaw 運行的帳號進行限制，AI 將擁有與該用戶同等的存取權。一個小小的邏輯錯誤，就可能觸動財務系統或更改核心代碼庫。

二、2025-2026 OpenClaw 三大核心威脅

(一)  一鍵接管 漏洞鏈 (CVE-2026-25253)

現象： 這是 OpenClaw 這一年最嚴重的漏洞。它利用了控制介面（Control UI）對 URL 參數的過度信任。駭客構造一個包含惡意 Gateway URL 的連結，當用戶點擊時，瀏覽器會自動向駭客伺服器發送用戶的認證 Token。

代價： 駭客拿到 Token 後，就擁有了用戶本機 AI 代理的所有操作權限，包括讀取檔案和執行 Shell 指令。

(二) 技能包投毒 

現象： OpenClaw 的強大源於可擴充的「技能（Skills）」，但官方市場 ClawHub 缺乏嚴格的程式碼審核機制。駭客註冊為開發者，上架大量功能正常但暗藏後門的 Skills。

代價： 用戶在追求自動化便利時，不自覺地在主機上安裝了惡意程式，導致個人隱私、財務資料與社群帳號認證被竊取。

(三) 系統性與原生架構風險

現象： 這反映了自主 AI 代理的先天不足。OpenClaw 的 Agent 通常以用戶權限直接在本機運行，缺乏嚴格的沙箱隔離。同時，其長期記憶功能（如 MEMORY.md）可能因時間久遠而「忘記」安全守則，甚至受到外部網頁內容的「提示詞注入（Prompt Injection）」攻擊而失控。

代價： 攻擊者不需利用軟體漏洞，僅需透過認知操縱，即可讓 AI 代理成為企業內網的新破口。

三、OpenClaw 技能包投毒事件(ClawHavoc)

(一) 攻擊規模與演進

1. 初次曝光（2026年1月底 - 2月初）：安全團隊首次在 ClawHub 的 2,857 個 Skills（技能包）中，掃描發現了 341 個 惡意技能包，感染率高達 12%。

2. 迅速擴張（2026年2月中旬）：隨著市場總量增長，黑客瘋狂擴展。至2月中旬，已被確認的惡意技能包飆升至 1,100+ 個。

3. 覆蓋領域：從最初偽裝成加密貨幣自動交易工具（如 solana-wallet-tracker、better-polymarket），擴展到瀏覽器自動化、編碼助手、PDF 工具，甚至黑客還極具諷刺意味地推出了虛假的「安全掃描插件」來反向釣魚用戶。

(二) 核心攻擊鏈分析

ClawHavoc 不是單純的代碼漏洞利用，而是一場結合了文本指令化與社交工程的複合型攻擊，主要分為以下三步：

1. 投毒清單

黑客在 ClawHub 上架外表專業、文檔齊全的技能包。其核心的 SKILL.md（說明文件）中會包含一個 “Prerequisites”（前置準備） 的步驟。

2. 利用大模型（LLM）進行社交工程

當用戶在 OpenClaw 中調用或嘗試安裝該技能時，AI Agent 會將 SKILL.md 讀入上下文。此時，AI 就會扮演黑客的「傳聲筒」，引導或命令人類用戶：“在運行此工具前，您需要先初始化環境，請複製並執行以下腳本……” 用戶基於對 AI 的信任，往往會放鬆警惕。

3. 多平台精準投放二階段惡意負載（Payload）

黑客針對不同操作系統實施了雙管齊下的投毒：

● macOS 向量（無文件/混淆）： 文檔引導用戶複製一串 curl | bash 命令。該命令指向代碼分享網站 glot.io（用以繞過端點安全檢測），解密後會從黑客的遠端 IP 靜默下載 Atomic Stealer (AMOS) 木馬。

● Windows 向量（加密避殺）： 引導用戶從看似乾淨的 GitHub 倉庫下載 openclaw-agent.zip。該壓縮包帶有密碼保護，目的不是為了安全，而是為了防止主流殺毒軟件（AV）對加密壓縮包進行靜態掃描。解壓運行後，即注入帶有鍵盤記錄功能的木馬。

四、危害：AI 時代的「致命三聯擊」

OpenClaw 這類 AI Agent 具備 Simon Willison 所說的「致命三聯擊（Lethal Trifecta）」特徵，這使得 ClawHavoc 的破壞力遠超傳統 npm/PyPI 投毒：

(一) 持久訪問私有數據：

惡意代碼上膛後，會直接搜刮用戶瀏覽器的 Cookie、密碼、加密貨幣錢包私鑰、SSH 憑證。更致命的是，它會直接竊取 OpenClaw 本身的 .env 配置文件，拿走用戶配置的所有大模型 API 密鑰。

(二) 記憶中毒（Memory Poisoning）：

攻擊者還會竊取並修改 Agent 的長期記憶文件（SOUL.md 和 MEMORY.md）。被修改後的 AI Agent 表面上依然表現得專業、熱情，但實際上它已經在長期記憶層面被植入了「邏輯炸彈」，會在特定場景下持續監視或誤導用戶。

(三) 自主外部通信：

AI Agent 本身具備向外發送郵件、調用 Webhook 的能力，黑客可以利用 Agent 自身的合法渠道，將竊取到的敏感數據（ credentials ）神不知鬼不覺地外傳。

五、防範與應對策略

(一) 沙箱化隔離（Sandboxing）：

這是企業的「保險絲」。應將 OpenClaw 運行在完全隔離的虛擬機器（VM）或容器中，限制其僅能存取特定的應用程式與資料夾，避免 AI 直接接觸到宿主機的核心系統。

(二) 人機協作檢查（Human-in-the-Loop）：

對於高風險操作（如發送郵件、支付、刪除資料），企業應強制設定「人工確認」節點。AI 可以準備好一切，但最後的「點擊」必須由人類執行。

  

(三) 日誌審計與實時監控：

建立詳盡的操作日誌（Audit Logs），記錄 AI 的每一次點擊與輸入。搭配異常檢測系統，一旦發現 AI 出現非預期的行為模式（如短時間內大量存取不相關檔案），立即切斷其連線。

(四)威脅情資與監控： 

● 部署端點偵測與回應（EDR）系統，結合威脅情報（Threat Intelligence）偵測異常特徵行為。如NEITHNET自主研發的NEITHSeeker(MDR)，透過資深資安團隊服務，分析警示資訊當中潛藏的AI異常行為危險徵兆，提供及時有效的處理，避免被加密勒贖、資料破壞，造成企業營運損失。

● 流量監控：分析網絡流量，檢測可疑的橫向移動或外部通信。如NEITHNET自主研發的NEITHViewer內網威脅鑑識服務，提供內網異常流量行為監控，透過網路行為與大量惡意情資，搭配富有經驗的資深網路攻擊分析師，讓內網威脅無所遁形。