OpenClaw 13.5 萬星後爆出 SaaS 安全危機
OpenClaw 在 GitHub 衝上 13.5 萬星後,短時間內接連出現惡意 skills、暴露實例與 token 外洩,凸顯 AI agent 正快速放大 SaaS 風險。
OpenClaw 衝上 13.5 萬 GitHub stars 後,接連爆出惡意 skills、外洩實例與 token 風險。
OpenClaw 是由 Peter Steinberger 開源的 AI agent,短時間內星標數破 13.5 萬。Reco 在 2 月 12 日的分析指出,這類 agent 一旦拿到檔案、郵件、行事曆與訊息工具權限,原本的效率工具就會變成高風險攻擊面。
| 項目 | 數值 |
|---|---|
| GitHub stars | 135,000+ |
| Malicious skills found | 341 |
| Total skills registry | 2,857 |
| Exposed internet instances | 21,639 |
| Leaked email addresses | 35,000 |
| Leaked agent API tokens | 1.5 million |
| CVSS score | 8.8 |
發生了什麼
訂閱 AI 趨勢週報
每週精選模型發布、工具應用與深度分析,直送信箱。不定期,不騷擾。
不會寄垃圾信,隨時可取消。
OpenClaw 原名 Clawdbot、後改為 Moltbot,能在本機跑,並串接 Claude、GPT 等模型。它可執行 shell 指令、讀寫檔案、瀏覽網頁、寄信、管行事曆,還會保留跨次工作階段的記憶。
這種高權限設計很快就被盯上。Reco 指出,OpenClaw 爆紅後兩週內就出現一串事件:
- 1 月 27 日至 29 日,攻擊者透過 ClawHub 上架 335 個惡意 skills。
- 後續統計顯示,2,857 個 skills 中有 341 個惡意項目,約占 12%。
- 1 月 30 日,OpenClaw 修補 CVE-2026-25253,一鍵遠端程式執行漏洞。
- 1 月 31 日,Censys 發現 21,639 個暴露在網路上的實例。
- 1 月 31 日,Moltbook 外洩 35,000 個 email 與 150 萬組 agent API tokens。
- 2 月 3 日,OpenClaw 再揭露 3 項高影響公告,包含 2 個 command-injection 漏洞。
問題不只是一個漏洞,而是 marketplace 信任、本機暴露與代理權限疊在一起。只要一個惡意連結或 skill 被執行,就可能在幾秒內觸發程式碼執行與資料存取。
為什麼重要
對企業來說,真正的風險是 shadow AI。員工可能把個人 agent 接上 Slack、Google Workspace、Email 或文件系統,卻沒有經過安全審查,OAuth token 和資料也可能在被入侵後延續可用。
這讓傳統防護變得不夠用。端點工具只看到程序,網路工具只看到 API 流量,身分系統只看到授權,但都不擅長把 autonomous agent 當成獨立風險類別來看。安全團隊若看不到 agent 連線、權限與 app-to-app 活動,就很難在事故前攔下它。
OpenClaw 不是單一案例,而是提醒:AI agent 拿到 SaaS 權限的速度,已經快過多數企業建立可視性的速度。