全球逾4萬個OpenClaw部署曝險資安業者警告已有駭客活動跡象

2026 / 02 / 09

編輯部

資安業者 SecurityScorecard 近日發布警告，指出熱門開源代理式 AI 助理工具 OpenClaw 存在大規模錯誤配置問題，全球已有超過 40,000 個部署暴露於公開網路，其中 63% 存在可被利用的漏洞，且已偵測到實際入侵活動跡象。

逾1.2萬個部署實例可遭遠端程式碼執行攻擊

OpenClaw（前身為 Clawdbot 與 Moltbot）是一款近期爆紅的開源 AI 代理框架，能自動化執行工作流程、操作線上服務與跨裝置運作。然而，SecurityScorecard 的調查發現，共有 40,214 個 OpenClaw 部署暴露於公開網路，關聯 28,663 個獨立 IP 位址，數字仍持續攀升。

這些曝險部署中有 63% 存在漏洞，其中 12,812 個可透過遠端程式碼執行攻擊進行利用，攻擊者可藉此完全接管主機系統。SecurityScorecard 已在 OpenClaw 中發現三個高嚴重性 CVE 漏洞，且每個漏洞皆已有公開的攻擊程式碼。

該公司進一步將曝險資料與威脅情資進行交叉比對，發現 549 個部署與先前的入侵事件相關，另有 1,493 個部署存在已知漏洞，顯示威脅行為者已開始鎖定這些暴露的 AI 代理進行攻擊。

預設配置不安全間接提示注入成重大威脅

資安專家指出，OpenClaw 的安全問題源於多項架構設計缺陷。HiddenLayer 研究人員發現，除非用戶主動啟用 Docker 沙箱功能，否則 OpenClaw 預設以完整系統權限運作。此外，該工具的閘道器（Gateway）預設綁定至 0.0.0.0:18789，將完整 API 暴露於所有網路介面。根據 Censys 資料，截至 2026 年 2 月 8 日，已有超過 30,000 個部署可從網際網路存取。

除 RCE 風險外，間接提示注入（Indirect Prompt Injection）攻擊更是一大隱憂。攻擊者可在網頁中嵌入隱藏的惡意指令，當 AI 代理讀取該內容時，便會依照指令執行操作，而用戶往往毫無察覺。HiddenLayer 的概念驗證攻擊中，研究人員透過惡意網頁指示 OpenClaw 下載並執行 Shell 腳本，成功在系統的 HEARTBEAT.md 檔案中植入後門指令，該檔案預設每 30 分鐘執行一次。

NordVPN 技術長 Marijus Briedis 表示，OpenClaw 的安全模型預設用戶具備網路隔離、權限管理與安全通道配置等專業知識，但對於在家用伺服器或低成本 VPS 上部署的一般用戶而言，預設設定的安全性明顯不足，且官方文件未充分強調相關風險。

憑證明文儲存 API金鑰外洩風險加劇

資安業者 OX Security 的分析指出，OpenClaw 以明文方式儲存憑證，採用不安全的程式碼模式（包括直接對用戶輸入執行 eval 函數），且缺乏隱私政策與明確的責任歸屬。部分 OpenClaw 用戶更透過控制面板洩漏了連結至第三方服務的 API 金鑰，進一步擴大了曝險影響範圍。

對 ClawHub 技能市集 3,984 個技能的分析發現，約 7.1%（283 個）含有嚴重安全缺陷，會透過大型語言模型的上下文視窗與輸出日誌以明文形式暴露敏感憑證。資安業者 Gen 的研究更顯示，約 15% 的技能含有惡意指令。

專家籲採零信任原則謹慎部署代理式AI

SOCRadar 資安長 Ensar Seker 指出，當代理平台的普及速度超越安全實務的成熟度時，錯誤配置便成為主要攻擊面，風險不在於代理本身，而在於將自主化工具暴露於公開網路，卻缺乏強化的身分驗證、存取控制與執行邊界。

SecurityScorecard 威脅情資與研究副總裁 Jeremy Turner 建議，用戶切勿盲目下載並在可存取個人完整數位生活的系統上使用這類工具，應建立適當隔離並進行實驗測試，確認新技術確實符合預期後再給予信任。

Astrix Security 研究員 Tomer Yahalom 則警告，無論企業是否核准，OpenClaw 等工具都會出現在組織內部，因為這類工具確實能提升生產力，員工自然會安裝使用，唯一的問題在於企業是否知情。這類未經 IT 部門核准的「Shadow AI」部署，可能繞過標準資安控管，為企業帶來新型態風險。