此篇文章聚焦於近期在開源AI代理平臺OpenClaw上被揭露的一項高風險資安漏洞ClawJacked,並透過資安公司Oasis Security的研究,說明此漏洞如何在使用者幾乎毫無察覺的情況下,使攻擊者取得AI代理系統的控制權。文章首先從OpenClaw的快速竄紅談起,指出這個在一月底正式推出的開源AI代理平臺,原先名為Clawdbot與Moltbot,因為具備整合多種AI服務與自動化能力,短時間內吸引大量使用者自行架設。然而,隨著使用規模快速擴大,安全問題也開始浮現。Oasis Security在研究過程中發現,OpenClaw存在一項被命名為ClawJacked的漏洞,攻擊者甚至不需要誘導使用者下載檔案、安裝外掛或點擊特殊連結,只要成功讓使用者瀏覽特定的惡意網站,就可能在背景悄悄接管電腦中運作的OpenClaw代理系統。文章藉由說明這項漏洞的發現與通報過程,讓讀者理解AI代理工具在便利性之外,也可能隱含新的資安風險。
接著,文章進一步深入解析ClawJacked漏洞的技術原理與攻擊流程,指出問題核心出現在OpenClaw啟動時所建立的本地閘道(gateway)服務。這個服務原本是為了讓瀏覽器介面能夠透過WebSocket與OpenClaw代理程式進行溝通,因此會在本機(localhost)監聽連線。然而研究人員發現,瀏覽器的跨來源政策(cross-origin policies)並不會阻擋網站上的JavaScript與本機WebSocket服務建立連線,因此惡意網站可以嘗試直接與使用者電腦中的OpenClaw閘道互動。更嚴重的是,該閘道服務在處理本機登入驗證時,並未實施嚴格的速率限制,使得攻擊者能透過瀏覽器在背景執行暴力破解,反覆嘗試密碼組合。一旦成功登入,攻擊程式即可將自身註冊為受信任裝置,取得持續性的控制權。此篇文章也描述了完整的攻擊情境,從誘導使用者造訪惡意網站開始,到腳本自動連線本地服務、進行暴力破解,再到取得AI代理管理權限的整個過程。由於OpenClaw常被用來管理雲端服務、資料庫或企業內部API憑證,因此一旦系統被接管,攻擊影響可能不僅限於個人電腦,更可能進一步擴散至企業內部網路。
最後,文章也從資安防護與開發設計角度,探討這類漏洞對新一代AI工具帶來的警示。文章指出,ClawJacked攻擊完全利用瀏覽器與本地服務的互動機制完成,不需要傳統惡意程式下載或社交工程操作,顯示許多AI代理工具在設計時,若未充分考量本機服務暴露於瀏覽器環境的風險,就可能成為新的攻擊入口。對於漏洞通報後的處理進展,文章說明OpenClaw開發團隊已迅速發布2026.2.25版本修補相關問題,並強化本機驗證與連線控制機制。同時,Oasis Security也建議使用者應立即更新系統版本,並避免在高權限工作站上直接執行具有廣泛存取能力的AI代理工具,必要時可透過虛擬機或隔離環境運行,以降低潛在風險。此外,文章亦回顧OpenClaw先前曾修補的另一項高風險漏洞CVE-2026-25253,該漏洞屬於遠端程式碼執行(RCE)問題,CVSS評分高達8.8分,顯示此類新興AI平臺在快速發展過程中,仍需持續強化安全設計與漏洞管理機制。整體而言,文章不僅揭露ClawJacked漏洞的技術細節,也提醒讀者在導入AI代理工具時,必須同時重視其潛在的資安影響。
