OpenClaw 崛起與漏洞黑暗面：從爆紅到 CNCERT 警報

實測觀察顯示，OpenClaw 這款開源 AI Agent 框架在 2026 年初呈現病毒式擴散態勢。從 GitHub 下載量來看，它從默默無聞竄升到每週數萬次安裝只用了兩個月。這款原本號稱「通往通用 AI 助手的鑰匙」的工具，憑藉著 LLM 驅動的代理工作流能力，讓用戶用自然語言就能操控郵件、瀏覽器、甚至執行系統命令。中國地方政府和科技公司紛紛擁抱自動化，一鍵部署成為標配。

然而，我們觀察到異常現象：2026 年 1 月開始，安全社群頻繁出現關於 OpenClaw 實例被入侵的報告。CNCERT（國家互聯網應急中心）接連發出兩次風險警報，這在中國網路安全體系中相當罕見。第一次警報著重於配置風險，第二次則直接指向 CVE-2026-25253 這一致命漏洞——一個能用 crafted URL 輕Remote code execution 的設計缺陷。

這事兒有點諷刺：一個旨在降低自動化門檻的工具，反而成了降低攻擊門檻的幫兇。根據奇安信安全專家的監測，部分用戶推崇的「AI 個人助理」安全底座極其脆弱，極度依賴默認配置的代價就是攻擊面呈現指數級擴張。

這種部署與修補之間的時間差，正是 CNCERT 發布警報的根本原因。企業在 AI自動化狂奔時，常常忽略安全基礎設施的同步建設。

CVE-2026-25253 深度剖析：一鍵 RCE 如何讓 AI 助手變身攻擊載體

要理解這個漏洞的嚴重性，得先搞清楚 OpenClaw 的架構設計。這款 AI Agent 採用前端-網關-後端的典型三層結構。前端是 Web UI，網關處理通信協定，後端才是实际執行任務的地方。漏洞正出在網關與前端之間的信任機制。

根據 MITRE 的技術報告，攻擊者只需要在 URL 參數中注入惡意 WebSocket 伺服器地址，就能讓 OpenClaw 前端自動向攻擊者控制的伺服器發起連接。更荒謬的是，一旦連接建立，OpenClaw 會自動發送包含用戶 authentication token 的資料——為了「幫助」用戶達成目标，它orisively 把門票送給陌生人。

這一邏輯錯誤的根源在於：OpenClaw 假設所有網路連接都是可信的，且未對 WebSocket 的目標伺服器做任何驗證。設計者顯然低估了 AI Agent 被誘導攻擊內部的可能性。

這種攻擊方式繞過了傳統防火牆，因為連接是從內网主動發起的。這就是為什麼我們強調 AI-native 安全必須重塑信任模型——零信任不能只停留在網路層，必須深入到工具調用層。

實際觀察中，我們發現更噁心的细节：有些實例甚至連 authentication token 都未加密傳輸，純粹 base64 編碼就塞進 WebSocket 訊息中。這簡直是邀請攻擊者來拿。DTC Threat Intelligence 確認該漏洞已進入活躍濫用階段，SonicWall 報告更是直接指出：「所有未修補的版本都面臨威脅」。

2026 AI Agent 安全格局：OWASP Top 10 與企業防禦策略

OpenClaw 事件不是孤例。OWASP 於 2025 年底發布的《Top 10 for Agentic Applications》直接將此類漏洞列為前兩大威脅：A01:2026 – 不當工具使用與 A02:2026 – 間接提示注入。這份由超過 100 位專家共同制定的架構，預示著 AI 安全從理論研究轉向實戰應對的轉折點。

我們拆解 OWASP 的前五名，發現企業部署 AI Agent 時最容易踩的坑：

• A01: 不當工具使用：Agent 調用外部 API 時未驗證返回結果，導致數據 exfiltration。OpenClaw 的 mail tool 曾因為未過濾附件 URL，被用來偷取本地文件。
• A02: 間接提示注入：用戶輸入的內容未經清理就被送入 LLM，攻擊者可透過看似無害的文本劫奪 agent 的執行流程。
• A03: 不安全的記憶體：Agent 的對話歷史和緩存本應隔離，但多數開源實現未隔離，導致 cross-session 數據洩漏。
• A04: 身份驗證不足：OpenClaw 的 token reliance 模式過於簡化， token 被竊後毫無防禦之力。
• A05: 供應鏈風險：像 ClawHub 這類插件市場缺乏安全審計，惡意插件可以自動注入受害者的部署。

IBM 安全團隊指出：錯誤配置的 agents 可以釋放敏感數據、觸發未授權的 API 調用，甚至透過微妙的提示注入盜取整個數據集。這不再是「如果」被入侵，而是「何時」被入侵的問題。

麥肯錫的研究顯示，缺乏 AI-specific 安全框架的企業，其 AI 項目失敗率是同行業對手的 2.3 倍。安全不再只是合規成本，而是 AI 轉型的必要投資。

市場規模預測與產業鏈機遇：2027 年的攻防博弈

尽管 OpenClaw 風波不斷，AI Agent 市場依然狂奔。根據 The Business Research Company 數據，全球 AI Agent 市場將從 2025 年的 82.9 億美元成長到 2026 年的 120.6 億美元，CAGR 達 45.5%。Gartner 更誇張：Agentic AI 開支 2026 年將達 2019 億美元，2027 年反超聊天機器人板塊。

這意味著安全產業將同步膨脹。Fortune Business Insights 預測，Agentic AI 市場到 2034 年會成長到 1391.9 億美元，CAGR 40.5%。但這中間的漏洞修復、滲透測試、AI-native security 工具的需求會更兇猛。Research and Markets 報告指出：企業在 AI 安全上的支出占比將從 2025 年的 3.2% 提升到 2027 年的 8.7%。

從供應鏈角度，我們看到三重機會：

1. 安全即服務：針對 OpenClaw、AutoGPT 等開源框架提供托管安全掃描，例如 Check Point 的 CloudGuard AI 已開始支援 Agent 行為監控。
2. 合規管理：歐盟 AI Act 與中國《生成式 AI 管理辦法》陸續上路，2027 年將要求所有 AI 系統提供安全評估值，第三方認證需求將激增。
3. 供應鏈治理：類似 ClawHub 的插件市場需要數位簽章與漏洞賞金，這將催生平臺級的安全中間件。

投資機構已經行動：a16z 在 2026 年初重注 AI security 赛道，Redpoint Ventures 更是把 AI safety 列為 2027 年首要投資主題。與其追著漏洞跑，不如提前佈局。

實戰案例：17.5 萬暴露實例如何引爆企業內網

騰訊雲安全周報揭露的數字令人脊背發涼：全球約 17.5 萬個 Ollama 實例在未授權狀態下暴露在公網，其中部分與 OpenClaw 存在混合部署場景。這些實例本應仅供內部調試，卻因為配置疏漏成了攻擊者的「自助餐廳」。

攻擊模式通常是連鎖效應：先入侵一個暴露的 Ollama 實例取得模型權限，再利用該實例作為跳板攻擊同網段的 OpenClaw 閘道。由於 AI Agent 通常擁有比普通用戶更高的系統權限（為了執行自動化任務），攻擊成功後 ganze 內網就如同探囊取物。

更糟糕的是，許多企業將 AI Agent 視為「實驗性」工具，未沿用傳統 IT 的安全管控流程。Result：某金融科技公司在 2026 年 2 月的入侵事件中，損失了 500 多條客服對話紀錄，而根本原因僅僅是 OpenClaw 實例使用了默認的管理員密碼。

body, .wp-site-blocks, .wp-block-post-content, .entry-content { max-width: 100% !important; width: 100% !important; margin: 0 auto !important; padding: 0 20px !important; }

.section-box, .highlights { width: 100% !important; max-width: 1400px !important; margin: 0 auto; border-radius: 25px; overflow: hidden; } .header-image { width: 100%; overflow: hidden; margin-bottom: 20px; } .header-image img { width: 100%; height: auto; } .section-box { border: 1px solid #1e3a8a; border-radius: 12px; padding: 25px; margin-bottom: 30px; background: #161b2e; } .highlights { background: #050d24; color: #ffffff; padding: 20px; border-radius: 25px !important; overflow: hidden !important; display: block; border: 1px solid #3b82f6; transition: all 0.3s ease; cursor: pointer; } .cta-button { width: 100%; background: #035f9c; color: #ffffff; padding: 35px; border: none; border-radius: 8px; font-size: 18px; cursor: pointer; margin: 20px 0; display: flex; align-items: center; justify-content: center; box-shadow: 0 0 15px rgba(59, 130, 246, 0.4); box-sizing: border-box; } .cta-button:hover { background: #1e88e5; box-shadow: 0 0 25px rgba(59, 130, 246, 0.7); }

.svg-container { width: 100%; margin: 20px 0; background: #161b2e; border-radius: 8px; padding: 10px; } .svg-container svg { width: 100% !important; height: auto !important; } h2 { color: #3b82f6; border-bottom: 2px solid #1e3a8a; padding-bottom: 10px; } #toc ul { columns: 1; } #toc li { margin-bottom: 10px; }