AI 代理不是聊天機器人：風險 surface 的天壤之別

實測下來，OpenClaw 這類 AI 代理平台跟 ChatGPT、Gemini 這種純對話式工具根本不在同一個量級。後者顶多回答問題或生成文本，但 OpenClaw 可以直接在本地機器上跑程式、讀寫文件、控制瀏覽器，甚至連接 Telegram、Discord 等即時通訊。換句話說，它已經具備了「執行者」的能力，而不只是「對話者」。

這種本機操作和安裝第三方技能的自由度，使得攻擊面大幅擴張。一個正常的聊天 AI 就算被釣魚，也很難直接拿到你系統的存取權限；但 OpenClaw 一旦被入侵，等於在對方口袋裡塞了一把萬能鑰匙。HKCERT 在最新一份報告中明確指出，AI 代理平台「present a risk surface beyond that of typical conversational AI tools」，這話一點都不誇張。

CVE‑2026‑25253 漏洞技術深挖：一個參數的災難

這次漏洞的代號 CVE‑2026‑25253，又被 Safety 圈子戲稱為 “ClawBleed”，聽起來像是 Heartbleed 的 AI 版本。漏洞本身屬於 Cross‑Site WebSocket Hijacking（CSWSH）的一種變種，但 exploitation 方式讓人直搖頭——實在是太容易了。

OpenClaw 前端為了讓使用者匯出備份認證，設計了一個 /api/export-auth 端點，理論上只能讓已登入的使用者下載自己的 Token。問題就出在這個端點完全沒有檢查 CSRF 令牌或驗證请求來源。攻擊者只需引诱點擊一個精心构造的連結，瀏覽器就會自動向受害者的 OpenClaw 實例发起一個跨域 WebSocket 連接，並在握手完成後直接把認證 Token 吐出來。

更糟的是，這個 Token retrievable 之後，攻擊者可以透過 OpenClaw 的 WebSocket API 發送任意指令，例如執行 shell command、讀取文件、安裝惡意技能，甚至開啟反向 shell。一套原本旨在提升生產力的工具，瞬間變成攻击者的跳板。

HKCERT 的警示與企業忽視的代價

香港網絡安全事故協調中心（HKCERT）在 2026 年 1 月底發布的《香港網絡安全展望 2026》中，特別点名了 AI 代理平台作為新興威脅。報告指出，2025 年香港網絡安全事故總數年增 27%，創歷史新高，其中與 AI 相關的攻擊占比顯著上升。HKCERT 強調，AI 代理因為能直接在本地操作、安裝第三方技能並與外部服務整合，其風險远超寻常的對話式 AI。

然而，市場的反應總是慢半拍。OpenClaw 作為目前最流行的開源 AI 代理之一，累積下載量超過 10 萬次，但許多部署仍停留在 2025 年的舊版本。安全 Researcher 在互聯網上掃描發現，多達 42,000 個 OpenClaw 實例暴露在公網，其中絕大部分未修補 CVE‑2026‑25253。這就像在每家門口都放了一張寫著「我沒鎖門」的告示。

2026‑2027 預測：AI 代理市場膨脹，安全防護跟不上

從市場數據來看，AI 代理行業正處在爆發期。2025 年全球市場規模約 76‑84 億美元，2026 年預計成長到 88‑120 億美元，而到了 2027 年，Gartner 預測企業在 Agentic AI 上的支出將直接衝破 2019 億美元，遠超傳統對話式 AI 的預算。這意味著越來越多企業會把核心流程外包給 AI 代理，不論是客戶支持、代碼生成還是內部知識庫檢索。

問題是，安全產業還沒有準備好。絕大多數安全解決方案仍然圍繞靜態資源和傳統 API 設計，而 AI 代理是動態的、可編程的、並且具有持續學習的能力。它們會自行下載技能、接入新服務、甚至跨服務協調複雜任務。这种可組合性带来了供应链攻击的新机会——一個惡意技能就可以讓整個代理陣營倒戈。

未來两年，我們可以預見幾種趨勢：

1. AI 代理專用 WAF 與 RASP 崛起：針對 WebSocket 和自動化指令流的深度檢查將成為標配。
2. 零信任架構延伸至 Agent 層：每個 AI 代理都需具備獨立身分，並對其能呼叫的 API 施行動態權限控制。
3. 供應鏈安全 audit 成為剛需：企業在導入第三方 AI 技能前，強制要求通過安全審計。
4. AI 生成的攻擊代碼泛滥：攻擊者利用 AI 自動生成漏洞利用腳本，降低攻擊門檻。

如何自我診斷與加固：檢查清單

針對已經部署 OpenClaw 或類似 AI 代理的組織，以下是必須立即執行的步驟：

1. 版本查閱：確認目前 OpenClaw 版本。如果小於 2026.1.29，立即升級。
2. 網路暴露面分析：檢查 Control UI 是否對互聯網開放。如果為是，立即 limiting 到內部 IP 或透過 VPN 存取。
3. 技能審計：列出所有已安裝的第三方技能，移除不必要或未經驗證的項目。特别注意那些 newly added 的腳本。
4. Token 回收：所有使用者的認證 Token 應立即撤銷並重新生成，防止已被竊取的 Token 被持續利用。
5. 日誌與監控：啟用詳細的存取日誌，監控可疑的 WebSocket 連接嘗試，例如來自陌生 IP 的握手或頻繁的 /api/export-auth 调用。
6. MFA 部署：為所有管理帳戶啟用多因素認證，即使 Token 被竊也需通過第二道關卡。
7. 權限隔離：確保 OpenClaw 服務運行在低權限帳號下，並限制其對敏感目錄的存取。

FAQ 常見問題

問：CVE‑2026‑25253 是否會自動觸發，還是需要使用者點擊連結？

答：漏洞利用需要誘導使用者點擊 specially crafted URL。當 Use 點擊後，瀏覽器會自動向 OpenClaw 實例发起 WebSocket 連接，並在握手完成後將認證 Token 發送給攻擊者的伺服器。整個過程无需用户进一步交互。

問：升級到 2026.1.29 版本後，是否還有殘留風險？

答：官方修復是對 /api/export-auth 端點增加了 CSRF 令牌驗證和 Origin Header 檢查，修復了核心漏洞。但若 Token 已經在漏洞利用期間被竊取，攻擊者可能在修復前已經持有了有效 Token，因此建議在升級後立即撤銷並重新生成所有 Token。

問：除了 OpenClaw，其他 AI 代理框架（如 AutoGPT、LangChain）是否也有類似漏洞？

答：目前尚無公開的 CVE 與其他主流框架掛鉤，但 ANY 具備 WebSocket 或長連接功能且需要身份驗證的系統，如果忽略 CSRF 保護和來源檢查，都可能存在類似風險。建議對所有 Agent 平台進行同等的安全評估。

相關資訊:

AI科學家引爆氣候研究革命：2026年預測模型市場將破30億美元 AI 武器倫理戰地實況：Anthropic 拒 Pentagon 要求背後的商業與道德角力 百度 DuClaw 零部署革命：OpenClaw 瀏覽器直擊，AI智能體從此免 API Key 安裝 | 2026 長遠影響全解析 百億基金啟動：台灣AI新創的生死戰場與2026生態系深度剖析 中國 AI 真的要贏了？對沖基金大佬曝祕密：成本不到美國 1/10，2026 年將收割 2.5 兆美元市場！ Mesh Crypto Paylinks：用幾行程式碼解鎖商家的加密貨幣支付大門｜2026產業預測 Meditex AI 革命：臨床醫生不再被文件吞噬，而是讓 AI 幫忙寫病歷！Expanse 系統如何重塑 2026 醫療資訊化 蛋白質結構預測新紀元：AlphaFold 3 如何顛覆藥物研發規則