引言：第一手漏洞觀察——AI 代理的玻璃牆

我蹲在螢幕前，看著 Oasis Security 發布的 PoC 影片，畫面中一個看似無害的部落格頁面悄悄打開了與 localhost 的 WebSocket 連線，然後…不到 30 秒，OpenClaw gateway 的密碼被暴力破解，遠端指令開始下達。這種零互動（zero-interaction）攻擊不需要任何使用者點擊，不需要安裝惡意擴充功能，只需要你打開一個網頁——而這正是 2026 年最可怕的 AI 安全威胁。

“我們的漏洞存在於核心系統本身——沒有外掛，沒有市集，沒有使用者安裝的擴充功能——僅僅是 bare OpenClaw gateway 按照文件運行，就足以被攻破。” Oasis Security 的研究報告一針見血。

本文結合最新漏洞分析、市場預測數據與企業實務，為你拆解 ClawJacked 的技術細節、潛在影響，以及如何在 AI 代理全面爆發的前夜，建構有效的防禦體系。

技術深潛：ClawJacked 如何突破瀏覽器沙盒？

攻擊链条像精心排練的舞蹈，每一步都利用了瀏覽器與本地服務之間的安全假設落差。

攻擊步驟

1. 受害者造訪任意網站（甚至可以是正常網站，被入侵後植入腳本）
2. 網站內的惡意 JavaScript 執行：new WebSocket('ws://localhost:PORT')
3. 由於瀏覽器允許對 localhost 發起 WebSocket 連線（不受同源政策限制），連線成功建立
4. OpenClaw gateway 預設信任來自 localhost 的連接，不驗證原點
5. 攻擊腳本開始暴力破解 gateway 密碼（系統未對 localhost 請求實施速率限制）
6. 密碼破解成功後，攻擊者可發送管理指令，註冊新裝置、竊取代理記憶體、下載敏感資料

案例佐證：ClawJacked 的真實影響

根據多份安全報告（Oasis Security、The Hacker News、Security Affairs），該漏洞影響所有預設配置的 OpenClaw 本地部署版本，攻擊者可：

• 無聲劫持開發者的 AI 代理，竊取內部通訊記錄
• 註冊惡意裝置，長期維持持久化存取
• 從代理記憶體中提取敏感 API 金鑰與 credentials
• 將代理轉化為內網滲透的跳板

Oasis 發布的 PoC 影片清楚展示了一名開發者在瀏覽正常網站後，其本地 OpenClaw 實例被remote利用的完整過程。這不是理論攻擊，而是已經在野外被驗證的可行威脅。

產業衝擊：從開發者到企業的連鎖效應

OpenClaw 作為開源 AI 代理生態系的重要支柱，其漏洞暴露的不仅是單一工具的安全缺失，更是整個代理導向 AI 架構的結構性風險。根據 CB Insights 統計，62% 的 AI 代理相關公司成立於 2022 年之後，這意味著大多數團隊缺乏成熟的 SOC 流程與安全編排能力。

The Hacker News 的報導指出：”漏洞 lived in the core system itself”，這句facts嚇人的點在於：即使你從未安裝可疑外掛、即使你完全按照官方文檔配置，只要運行 OpenClaw，就可能被接管。這完全顛覆了「安全等於正確配置」的傳統思維。

關鍵洞察： OpenClaw 的流行度使其成為高價值目標。GitHub Stars 超過 20k，數以千計的开发者在其本地機器上跑 gateway。這種 browser-to-localhost 的攻擊面，使得远程攻擊者能間接滲透到受害者內部網絡——而受害者甚至不會察覺自己的瀏覽行為觸發了入侵。

市場預測：AI 代理安全支出的爆炸性成長

ClawJacked 事件的爆發並非偶然。IBM 2026 X-Force 威脅指數明确指出：AI 工具正加速攻擊者識別弱點的速度，而企業的基本安全漏洞正以驚人比率被利用。

根據 Markets and Markets 報告，AI 代理市場將從 2024 年的 50.1 億美元成長到 2030 年的 543.2 億美元（CAGR 45.2%）。而 AI 安全支出在同一時期將從 253.5 億美元飆升至 937.5 億美元（CAGR 24.4%）。這意味著每花 4 美元在 AI 代理上，就有約 1 美元用於安全防護——這是 2020 年以來未見過的比例。

市場現實： 供應鏈正在快速反應。CyberArk、Lasso Security、IBM 等廠商在 2026 年初密集發布 AI 安全預測報告， Cisco 更推出專門的 AI 安全情報報告。這不再是邊緣议题，而是企業風險管理的核心。

防禦策略：零信任架構下的本地服務保護

修補 ClawJacked 不只是升級到 2026.2.26+。更重要的是重新思考本地開發服務的安全模型。

企業級緩解措施

1. 網路隔離：將 AI 代理實例部署在隔離的 VLAN 或容器網絡中，與開發瀏覽器環境物理分隔
2. API 閘道整合：確保所有代理調用經過具備速率限制與異常檢測的 API gateway
3. 記憶體內加密：即使代理被接管，敏感資料也應在記憶體層級加密
4. 行為監控：部署 AI Agent 行为分析系統，標記異常指令序列（如大量註冊、快速嘗试验證）
5. 供應鏈審計：將 OpenClaw 及其依賴庫纳入 SBOM（軟體物料清單）管理

IDC 2026 FutureScape 指出，數位主權與 AI 自動化將重塑整個網路安全架構。ClawJacked 事件正是這一轉折的警鐘。

常見問題

OpenClaw ClawJacked 漏洞與 CVE-2026-25253 有什麼區別？

這是兩個不同的事件。CVE-2026-25253 是 OpenClaw 早期問題，涉及 user-supplied gatewayUrl 參數導致的 token 洩漏。而 ClawJacked 是 Oasis Security 發現的完整攻擊鏈，允許任何網站接管本地代理。兩者的修復方案也不同——ClawJacked 修復在 v2026.2.25+，而 CVE-2026-25253 修復更早。

我的企業目前使用 OpenClaw，應該怎麼辦？

第一步：立即升級至 v2026.2.26 或更高版本。第二步：檢查所有部署是否意外暴露在非受控網路介面。第三步：審查日誌是否有異常 WebSocket 連線嘗試。第四步：考慮暫時將 gateway 置於防火牆後，僅允许可信 IP 訪問。此外，訂閱 Oasis Security 與 OpenClaw 官方公告以獲取後續安全建議。

ClawJacked 漏洞會影響其他 AI 代理框架嗎？

該漏洞的根源在於「localhost 信任」與「瀏覽器 WebSocket 雙向連接能力」的組合，這是一個通用模式。類似框架包括 LangChain、AutoGen、Devin AI、SIMA 等，若其本地服務未實施嚴格原點檢查與身份驗證，都可能面臨相同攻擊面。安全研究社群正在審計其他流行代理平台。

行動呼籲

AI 代理時代的來臨不可逆轉，但安全不能是事後補救。如果你是企业技術決策者，現在就該將 AI 代理安全納入風險評估框架。如果你是開發者，請立即檢查你的 local gateway 配置。

siuleeboss.com 為你提供專業的 AI 安全架構諮詢與漏洞評估服務。我們幫助企業在建構 AI 代理系統時，將零信任原則內建於開發生命週期。

立即预约安全顧問

參考資料與延伸閱讀

• ClawJacked: OpenClaw Vulnerability Enables Full Agent Takeover (Oasis Security)
• ClawJacked Flaw Lets Malicious Sites Hijack Local OpenClaw AI Agents (The Hacker News)
• OpenClaw Vulnerability Allowed Malicious Websites to Hijack AI Agents (Security Affairs)
• AI Agents Market Size, Share, Growth & Latest Trends (Markets and Markets)
• IBM 2026 X-Force Threat Intelligence Index
• 5 AI agent predictions for 2026 (CB Insights)
• Inside IDC’s 2026 Security FutureScape
• The State of AI Security Report (Cisco)