🚨 中國官方連續兩度警告，OpenClaw 到底出了什麼事？

如果你這段時間有在關注 AI 工具圈，應該有聽過 OpenClaw 這個名字。這個開源的自主 AI 智能助理框架，原本因為能讓使用者本地部署、自己調度任務，而吸引了不少開發者與效率愛好者。但好景不長，中國工業和信息化部旗下的國家漏洞資料庫（NVDB）在 2026 年 2 月首次發出警告，緊接著在 3 月上旬再次強調，直接點名 OpenClaw 存在重大資安風險。

根據 NVDB 的公告，OpenClaw 的核心問題在於其「信任邊界模糊」——簡單來說，程式具備自行運作、決策及調用系統資源的能力，但部署時卻沒有做好權限控制和審計機制。一旦設定不當，或者使用者被誘導點了惡意連結，攻击者就能長驅直入，不僅竊取資料，甚至可完全掌控整個系統。

官方媒體 CGTN 隨後也跟进報導，把這個事件從技術圈推向了一般大眾視野。這場風暴不僅是單一漏洞的問題，更暴露了開源 AI 代理在安全設計上的根本缺陷：元件太多、权限太大、驗證太少。

🔍 CVE-2026-25253 技術深扒：gatewayUrl 參數怎麼被玩壞？

SonicWall 的 Capture Labs 團隊在 2026 年 2 月揭露了這個被追蹤為 CVE-2026-25253 的高危漏洞，CVSS 評分高達 8.8，影響所有 2026.1.29 版本以前的 OpenClaw 實例。漏洞的根源出在程式處理 gatewayUrl 參數時——它根本沒做驗證。

攻擊流程如下：黑客只需要誘導使用者點擊一個精心設計的惡意連結，該連結包含惡意的 gatewayUrl 參數。OpenClaw 拿到這個參數後，會自動建立一個 WebSocket 連線到攻擊者的伺服器，並在連接過程中傳送使用者的認證金鑰。這一步就GG了——攻擊者拿到金鑰後，不僅能冒充 OpenClaw 的身份，還能透過對方的 API 直接遠端執行程式碼，基本上就是拿到了整個系統的控制權。

開發團隊在 2026.1.29 版本初步加入了確認提示，後續更新更引入了嚴格的來源驗證機制。但問題是，很多用戶根本沒更新，或者根本不知道自己在運行高危版本。Hunt.io 的研究團隊掃描互聯網後發現，多達 17,500 個暴露的 OpenClaw、Clawdbot 和 Moltbot 實例仍然存在這個漏洞，數字驚人。

🏦 銀行與軍方都急了：哪些機構已經禁了 OpenClaw？

根據彭博的報導，中國的大型國有銀行和部分政府部門已經全面禁止員工在辦公電腦，或者使用公司网络的個人手機上安裝 OpenClaw。這不是小打小鬧，而是來自體制內的高级别安全指令。軍隊家屬也收到了類似限制，有些機構甚至連報備批准後使用都不允許，必須嚴格隔離運行環境。

經濟日報的分析指出，這波禁令的目的很明確：控制 AI 發展帶來的潛在資安隱患。OpenClaw 作為一個能自主運行、存取文件的 AI 代理，若被恶意利用，可以直接竊取企業機密或政府敏感資料。更糟糕的是，它的開源性質意味著任何人都可以打包一個惡意插件或技能，而使用者往往無法分辨真假。

換言之，OpenClaw 已經從一個「酷炫的開源專案」變成「國家級資安風險」。這也預示著未來各國政府對 AI 工具的監管將越來越緊，尤其是那些涉及系統自動化與文件讀寫能力的代理型 AI。

🎭 惡意技能大規模攻擊：數百個技能背後的組織化黑手

如果你以为只有 CVE 漏洞就算了，那真的太天真了。1Password 的安全研究員 Jason Meller 在 OpenClaw 的 ClawHub 技能市集進行抽查時，發現當時下載量排名第一的「Twitter」技能，竟然是一個惡意程式!這個技能會引導使用者安裝一個偽裝成「必要依賴套件」的「openclaw-core」，並在安裝過程中執行惡意鏈結，下載並運行混淆過的惡意腳本。

最終，一個刻意移除了 macOS 隔離屬性（Quarantine 屬性）的可執行檔被偷偷植入用戶电脑，成功繞過了 Apple 內建的 Gatekeeper 防惡意軟體系統。VirusTotal 的分析確認這個可執行檔是專為 macOS 設計的資料竊取惡意軟體，能靜默竊取瀏覽器 session、已儲存的密碼、開發者的 SSH 金鑰，以及各種 API 金鑰等高價值資料。

後續更深入的報導指出，涉及散播此類惡意軟體的技能多達數以百計，這根本不是單一個案的惡作劇，而是有組織、有規模的蓄意攻擊行動。攻擊者利用 OpenClaw 的生態系統 zucchini 式地植入後門，難怪會引起中國官方的高度警覺。

🔮 2026-2027 預測：開源 AI 代理的資安困局與出路

OpenClaw 事件不是單一產品的失敗，而是整個開源 AI 代理浪潮的第一個重大資安教訓。根據 Gartner 預測，2027 年全球 AI 助理市場規模將突破 1.2 兆美元，但與此同時，針對 AI 系統的攻擊也會急劇增加。我們預見幾個關鍵趨勢：

• 自動化攻擊面擴大：像 OpenClaw 這種能自主運行、調用資源的 AI 代理，將成為黑客的優先目標。CVE 漏洞會從「可能被利用」變成「一定會被 weaponize」。
• 國家級干預升級：中國的連續警告和禁令只是一個開始。未來歐美、日韓等國家很可能會跟進，對關鍵基礎設施使用的 AI 工具進行更嚴格的審查，甚至直接列入「不可信賴」清單。
• 供應鏈攻擊常態化：這次的惡意技能事件會一再重演，攻擊者會想方設法污染 AI 模型的訓練數據、破壞插件生態，或者植入後門。
• 法規追償壓力：隨著 AI 失誤或遭入侵導致實際損害的案例增加，企業將面臨更嚴格的法律責任。開源協議的免責聲明可能無法再提供充分保護。

出路在哪？firstly，產品設計必須從根源上 incorporate 零信任架構——每一次 AI 調用都要驗證、授權、記錄。其次，第三方生态必須引入簽名與審核機制，就像 Apple 的 App Store 或 Google Play 那樣，但標準要更高。第三，企業在部署 AI 代理時，必須採用隔離運行環境、最小權限原則，並持續監控異常行為。最後，整個行業需要建立 AI 專屬的漏洞披露流程與應急響應機制，不能等到出事才補救。

常見問題 (FAQ)

什麼是 OpenClaw？它和其他 AI 助理有什麼不同？

OpenClaw（前身為 Clawdbot、Moltbot）是一個開源的自主 AI 智能助理框架，能在 Windows、macOS 和 Linux 上本地運行。它的特色是讓 AI 代理具備一定的自主決策與系統資源調度能力，可以自動處理數位任務，不同於傳統的 ChatGPT 或 Claude 等純對話式 AI。

CVE-2026-25253 漏洞真的那麼嚴重嗎？

非常嚴重。CVSS 評分 8.8 屬於高危級別，漏洞允许未授權的遠程攻擊者竊取 OpenClaw 的認證金鑰，並進而實現遠程代碼執行（RCE），這意味著攻擊者可以幾乎完全掌控受害者的電腦。Hunt.io 發現超過 17,500 個暴露的實例仍受影響，數字表明修補率嚴重不足。

我該怎麼保護自己？

若你正在使用 OpenClaw，立即升級至 2026.1.29 或更新版本。同時，不要安裝來歷不明的第三方技能或插件，即使它們看起来很热门。企業用戶應將 OpenClaw 部署在隔離環境，限制其網路存取權限，並建立持續的行為監控與審計機制。最安全的做法可能是暫時停止使用，直至生態系統更加成熟。

參考資料

• SonicWall: OpenClaw Auth Token Theft Leading to RCE: CVE-2026-25253
• NVD – CVE-2026-25253 Details
• Hunt.io: CVE-2026-25253 in Internet-Facing AI Agent Gateways
• runZero: OpenClaw RCE vulnerability: CVE-2026-25253
• Medium: Your AI Agent Has No Armor: A Technical Security Analysis of OpenClaw