OpenClaw AI 代理平台安全漏洞：10萬+ 裝置瞬間失守（CVE-2026-25253）

Q: CVE‑2026‑25253 是否會自動觸發，還是需要使用者點擊連結？

漏洞利用需要誘導使用者點擊 specially crafted URL。當使用者點擊後，瀏覽器會自動向 OpenClaw 實例發起 WebSocket 連接，並在握手完成後將認證 Token 發送給攻擊者的伺服器。整個過程无需用户进一步交互。

Q: 除了 OpenClaw，其他 AI 代理框架（如 AutoGPT、LangChain）是否也有類似漏洞？

目前尚無公開的 CVE 與其他主流框架掛鉤，但任何具備 WebSocket 或長連接功能且需要身份驗證的系統，如果忽略 CSRF 保護和來源檢查，都可能存在類似風險。建議對所有 Agent 平台進行同等的安全評估。

💡 核心結論

OpenClaw 的 CVE‑2026‑25253 漏洞本質是 WebSocket 跨站劫持，一鍵點擊即可竊取認證 Token。
該漏洞影響所有未修復版本，全球估計超過 42,000 個實例暴露在互联网上。
AI 代理平台的本地操作和第三方技能安裝能力，使其風險遠超高層面的對話式 AI。
根據 Gartner 預測，2027 年企業在 Agentic AI 的支出將超過 2019 億美元，但安全防護明顯滯後。

📊 關鍵數據

CVSS 3.1 評分：8.8（高危）
受影響版本：2026.1.29 之前的所有版本
潛在受影響裝置：超過 100,000 台開發者機器
2025 年 AI 代理全球市場規模：76‑84 億美元
2026 年預測規模：88‑120 億美元
2027 年預測規模：超過 200 億美元（Gartner）
2025 年香港網絡安全事故年增幅：27% 創新高

🛠️ 行動指南

立即升級至 OpenClaw 2026.1.29 或更高版本。
審查 Control UI 的訪問權限，限制暴露在互聯網的端點。
禁用不必要的第三方技能，特別是新安裝的未知腳本。
啟用多因素認證（MFA）保護所有管理介面。
定期審核日誌，監控異常的 WebSocket 連接。

⚠️ 風險預警

漏洞利用門檻極低，單一釣魚連結即可觸發。
一旦 Token 被竊，攻擊者可完全控制 OpenClaw 網關，進而存取本地系統、瀏覽器和敏感文件。
供應鏈風險上升：惡意技能可能偽裝成正常擴充功能，實現持久化駐留。
企業若未及時更新，可能成為下一個大規模數據外洩事件的源頭。

AI 代理不是聊天機器人：風險 surface 的天壤之別

實測下來，OpenClaw 這類 AI 代理平台跟 ChatGPT、Gemini 這種純對話式工具根本不在同一個量級。後者顶多回答問題或生成文本，但 OpenClaw 可以直接在本地機器上跑程式、讀寫文件、控制瀏覽器，甚至連接 Telegram、Discord 等即時通訊。換句話說，它已經具備了「執行者」的能力，而不只是「對話者」。

這種本機操作和安裝第三方技能的自由度，使得攻擊面大幅擴張。一個正常的聊天 AI 就算被釣魚，也很難直接拿到你系統的存取權限；但 OpenClaw 一旦被入侵，等於在對方口袋裡塞了一把萬能鑰匙。HKCERT 在最新一份報告中明確指出，AI 代理平台「present a risk surface beyond that of typical conversational AI tools」，這話一點都不誇張。

Pro Tip： 不要把 AI 代理當成普通的聊天機器人來管理。它們應該被視為高權限的後台服務，需要隔離網路、限制UID、並實施最小權限原則。

CVE‑2026‑25253 漏洞技術深挖：一個參數的災難

這次漏洞的代號 CVE‑2026‑25253，又被 Safety 圈子戲稱為 “ClawBleed”，聽起來像是 Heartbleed 的 AI 版本。漏洞本身屬於 Cross‑Site WebSocket Hijacking（CSWSH）的一種變種，但 exploitation 方式讓人直搖頭——實在是太容易了。

OpenClaw 前端為了讓使用者匯出備份認證，設計了一個 /api/export-auth 端點，理論上只能讓已登入的使用者下載自己的 Token。問題就出在這個端點完全沒有檢查 CSRF 令牌或驗證请求來源。攻擊者只需引诱點擊一個精心构造的連結，瀏覽器就會自動向受害者的 OpenClaw 實例发起一個跨域 WebSocket 連接，並在握手完成後直接把認證 Token 吐出來。

更糟的是，這個 Token retrievable 之後，攻擊者可以透過 OpenClaw 的 WebSocket API 發送任意指令，例如執行 shell command、讀取文件、安裝惡意技能，甚至開啟反向 shell。一套原本旨在提升生產力的工具，瞬間變成攻击者的跳板。

Pro Tip： 在設計任何需要認證的 WebSocket endpoint 時，必須在握手階段檢查 Origin Header 並使用 CSRF 令牌。單靠 Same‑Origin Policy 是不夠的。

HKCERT 的警示與企業忽視的代價

香港網絡安全事故協調中心（HKCERT）在 2026 年 1 月底發布的《香港網絡安全展望 2026》中，特別点名了 AI 代理平台作為新興威脅。報告指出，2025 年香港網絡安全事故總數年增 27%，創歷史新高，其中與 AI 相關的攻擊占比顯著上升。HKCERT 強調，AI 代理因為能直接在本地操作、安裝第三方技能並與外部服務整合，其風險远超寻常的對話式 AI。

然而，市場的反應總是慢半拍。OpenClaw 作為目前最流行的開源 AI 代理之一，累積下載量超過 10 萬次，但許多部署仍停留在 2025 年的舊版本。安全 Researcher 在互聯網上掃描發現，多達 42,000 個 OpenClaw 實例暴露在公網，其中絕大部分未修補 CVE‑2026‑25253。這就像在每家門口都放了一張寫著「我沒鎖門」的告示。

Pro Tip： 使用 Shodan 或 Censys 定期掃描組織的外部 Surface，檢查是否存在未授權的 OpenClaw 實例。切勿把 Control UI 直接暴露在 0.0.0.0/0。

2026‑2027 預測：AI 代理市場膨脹，安全防護跟不上

從市場數據來看，AI 代理行業正處在爆發期。2025 年全球市場規模約 76‑84 億美元，2026 年預計成長到 88‑120 億美元，而到了 2027 年，Gartner 預測企業在 Agentic AI 上的支出將直接衝破 2019 億美元，遠超傳統對話式 AI 的預算。這意味著越來越多企業會把核心流程外包給 AI 代理，不論是客戶支持、代碼生成還是內部知識庫檢索。

問題是，安全產業還沒有準備好。絕大多數安全解決方案仍然圍繞靜態資源和傳統 API 設計，而 AI 代理是動態的、可編程的、並且具有持續學習的能力。它們會自行下載技能、接入新服務、甚至跨服務協調複雜任務。这种可組合性带来了供应链攻击的新机会——一個惡意技能就可以讓整個代理陣營倒戈。

未來两年，我們可以預見幾種趨勢：