[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"article-openclaw-security-risks-and-defenses-zh":3,"article-related-openclaw-security-risks-and-defenses-zh":28,"series-ai-agent-9dd23277-9adf-4eba-910f-cb8c7dbcb512":76},{"id":4,"slug":5,"title":6,"content":7,"summary":8,"source":9,"source_url":10,"author":11,"image_url":12,"cover_image":12,"category":13,"language":14,"translated_content":11,"related_article_id":15,"keywords":16,"key_takeaways":11,"views":25,"created_at":26,"published_at":27,"topic_cluster_id":11},"9dd23277-9adf-4eba-910f-cb8c7dbcb512","openclaw-security-risks-and-defenses-zh","OpenClaw安全風險與防護清單","\u003Cp>\u003Ca href=\"https:\u002F\u002Fgithub.com\u002Fopenclaw\" target=\"_blank\" rel=\"noopener\">OpenClaw\u003C\u002Fa> 這類本地 AI Agent，正在把聊天模型變成執行工具。安天披露的分析裡，單一平台就抓到 1184 個惡意技能包。全球還有 23 萬+ 實例，因預設配置不當暴露在公網。\u003C\u002Fp>\u003Cp>講白了，這不是一般軟體風險。它會讀檔、跑命令、連外網。你一旦把它放進辦公機、伺服器，或接上企業資料源，安全邊界就會變得很薄。\u003C\u002Fp>\u003Cp>我覺得這類工具很猛，也很危險。因為它不是只回答問題。它還會替你做事。這種能力一旦配上高權限，事情就會變得很難收拾。\u003C\u002Fp>\u003Ch2>OpenClaw 是什麼，為什麼風險高\u003C\u002Fh2>\u003Cp>\u003Ca href=\"\u002Fnews\u002Fopenclaw-multi-agent-deployment-app-platform-zh\">Open\u003C\u002Fa>Claw 是一個開源 AI 智能體。它把 LLM、終端、檔案系統和第三方技能包綁在一起。它能自動處理文件整理、郵件、腳本和資料清理。\u003C\u002Fp>\n\u003Cfigure class=\"my-6\">\u003Cimg src=\"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1775057612643-dbka.png\" alt=\"OpenClaw安全風險與防護清單\" class=\"rounded-xl w-full\" loading=\"lazy\" \u002F>\u003C\u002Ffigure>\n\u003Cp>這種設計很方便。開發者可以少寫很多膠水碼。使用者也能把重複工作交給 Agent。\u003C\u002Fp>\u003Cp>但問題也很直接。當它拿到系統權限後，它就不只是聊天機器人。它會碰到憑證、瀏覽器 session、內網 API，甚至整台機器的控制權。\u003C\u002Fp>\u003Cp>安天提到的核心問題很明確。\u003Ca href=\"\u002Fnews\u002Fopenclaw-ai-worker-privacy-security-costs-zh\">Open\u003C\u002Fa>Claw 與主機系統深度整合。權限邊界模糊。隔離不足。第三方擴充也缺少一致審核。這些點疊在一起，攻擊面就很大。\u003C\u002Fp>\u003Cul>\u003Cli>2026 年 2 月，ClawHub 出現大規模技能包投毒\u003C\u002Fli>\u003Cli>單一平台檢出 1184 個惡意技能包\u003C\u002Fli>\u003Cli>單一攻擊者最高上傳 677 個毒化插件\u003C\u002Fli>\u003Cli>全球 23 萬+ 實例暴露公網\u003C\u002Fli>\u003Cli>部分實例已出現敏感資料外洩\u003C\u002Fli>\u003C\u002Ful>\u003Cp>這些數字不是拿來嚇人。它們是在說一件事：AI Agent 的風險，不只在模型本身。更在它連到哪裡、能做什麼、誰能塞進去什麼東西。\u003C\u002Fp>\u003Ch2>最危險的是擴充生態，不是模型回答錯\u003C\u002Fh2>\u003Cp>\u003Ca href=\"\u002Fnews\u002Fopenclaw-13-chinese-tech-giants-race-zh\">Open\u003C\u002Fa>Claw 真正的風險中心，常常是 Skills 生態。Skills 本來是加功能的。可是一旦缺少審核，它也能變成加後門。\u003C\u002Fp>\u003Cp>安天提到的「利爪浩劫」就是典型案例。攻擊者把惡意技能包包裝成工具。再透過說明文件，誘導使用者執行終端命令，或下載未知二進位檔。\u003C\u002Fp>\u003Cp>使用者以為自己在安裝插件。其實是在幫攻擊者開門。這種手法很老，但放到 AI Agent 身上就很有效。因為使用者會更信任「看起來像官方工具」的東西。\u003C\u002Fp>\u003Cblockquote>“The absence of trust boundaries between the agent, the user, and external content creates a new class of security problem.” — \u003Ca href=\"https:\u002F\u002Flabs.zenity.io\u002F\" target=\"_blank\" rel=\"noopener\">Zenity Labs\u003C\u002Fa>\u003C\u002Fblockquote>\u003Cp>這句話很貼切。信任鏈條太長，就容易出事。使用者信任 Skills。Skills 信任腳本。腳本信任網路。模型又把這些內容塞進同一個上下文。\u003C\u002Fp>\u003Cp>最後，外部輸入就會被當成內部指令。這不是單點漏洞。這是整條流程都太鬆。\u003C\u002Fp>\u003Cp>再看供應鏈。Node.js 和 npm 依賴很多。只要上游套件被污染，安裝時就可能靜默執行惡意腳本。對 AI Agent 來說，這比傳統桌面軟體更麻煩，因為它通常權限更高，還會自動化執行。\u003C\u002Fp>\u003Cul>\u003Cli>Skills 可被包裝成正常工具\u003C\u002Fli>\u003Cli>安裝說明可夾帶惡意命令\u003C\u002Fli>\u003Cli>npm 依賴可能在安裝時執行腳本\u003C\u002Fli>\u003Cli>模型會把外部內容納入推理上下文\u003C\u002Fli>\u003Cli>使用者很難肉眼看出差異\u003C\u002Fli>\u003C\u002Ful>\u003Cp>說真的，這就是 AI Agent 安全的老問題新包裝。你不是在審一個 app。你是在審一個會自己動手的執行體。\u003C\u002Fp>\u003Ch2>和傳統軟體比，OpenClaw 暴露面大多少\u003C\u002Fh2>\u003Cp>如果把傳統桌面軟體、瀏覽器插件、AI Agent 放一起比，OpenClaw 的攻擊面更大。傳統軟體多半只做一件事。AI Agent 卻會同時碰檔案、命令列、網頁和第三方服務。\u003C\u002Fp>\n\u003Cfigure class=\"my-6\">\u003Cimg src=\"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1775057630609-fxdo.png\" alt=\"OpenClaw安全風險與防護清單\" class=\"rounded-xl w-full\" loading=\"lazy\" \u002F>\u003C\u002Ffigure>\n\u003Cp>安天引用的統計也很直接。CNNVD 在 2026 年 1 月到 3 月 9 日之間，收錄了 82 個 OpenClaw 漏洞。其中 12 個超危，21 個高危，47 個中危。\u003C\u002Fp>\u003Cp>這種漏洞密度不算低。尤其對一個還在擴張的開源專案來說，更不能只看功能表現。你還得看它的部署方式、預設權限和外部暴露面。\u003C\u002Fp>\u003Cp>更麻煩的是，很多人會直接把它放到聯網主機。預設配置沒改。驗證沒開。結果原本應該在本機跑的 Agent，變成互聯網上可掃描、可接管的入口。\u003C\u002Fp>\u003Cul>\u003Cli>漏洞總數：82\u003C\u002Fli>\u003Cli>超危漏洞：12\u003C\u002Fli>\u003Cli>高危漏洞：21\u003C\u002Fli>\u003Cli>中危漏洞：47\u003C\u002Fli>\u003Cli>公網暴露實例：23 萬+\u003C\u002Fli>\u003C\u002Ful>\u003Cp>如果你是開發者，這裡有個很現實的對照。傳統 SaaS 外洩，常常是資料問題。AI Agent 外洩，常常連執行權都一起送出去。這差很多。\u003C\u002Fp>\u003Cp>你可以把它想成一個會聊天的自動化工作站。只要它能下命令，風險就不只在資料被看見，而是資料被改掉、被刪掉、被轉出去。\u003C\u002Fp>\u003Ch2>防護怎麼做，先收權限，再收插件\u003C\u002Fh2>\u003Cp>如果你真的要部署 OpenClaw，第一步不是裝更多 Skills。第一步是收權限。最小權限原則在這裡不是教科書口號，而是底線。\u003C\u002Fp>\u003Cp>不要直接給管理員權限。不要讓 Agent 預設可刪檔、改設定、對外連線。你只要一開始放太鬆，後面就很難補。\u003C\u002Fp>\u003Cp>第二步是隔離。把它放進容器、虛擬機，或單獨執行環境。不要讓它跟核心業務主機共用高價值憑證。高風險動作最好加人工確認。\u003C\u002Fp>\u003Cp>第三步是控管來源。官方渠道、可信倉庫、經過審計的技能包，優先順序都要高於社群轉貼連結。只要它要求你下載 ZIP、執行 Shell 腳本、輸入帳密，你就先停一下。\u003C\u002Fp>\u003Cp>安天給的防護方向也很實際。只啟用必要 Skills。關掉不需要的擴充。定期掃漏洞。即時更新補丁。開啟完整日誌。把可疑技能送去做靜態檢查和行為分析。\u003C\u002Fp>\u003Cul>\u003Cli>只開啟真正需要的 Skills\u003C\u002Fli>\u003Cli>把 OpenClaw 放進隔離環境\u003C\u002Fli>\u003Cli>對 SKILL.md 與安裝腳本做審計\u003C\u002Fli>\u003Cli>盤點公網暴露端口\u003C\u002Fli>\u003Cli>接入端點防護與惡意檔案檢測\u003C\u002Fli>\u003C\u002Ful>\u003Cp>我會再補一條。高風險操作要加人工核准。像刪檔、外發、下載、執行腳本，這些都不該完全自動化。少一步自動化，通常就少一個事故點。\u003C\u002Fp>\u003Ch2>哪些工具先上，哪些檢查先做\u003C\u002Fh2>\u003Cp>安天提到的終端防護產品 \u003Ca href=\"https:\u002F\u002Fwww.antiy.cn\u002F\" target=\"_blank\" rel=\"noopener\">安天智甲\u003C\u002Fa>，重點在主機防護、行為管控、介質管控、郵件防護和動態備份。對會直接讀寫本地檔案、呼叫命令列的 Agent 來說，這類主機側防線很有用。\u003C\u002Fp>\u003Cp>另一個方向，是針對 Skills 的專項排查工具。你可以先把本地技能包批量掃過一輪。可疑檔案再送去做分析。像 \u003Ca href=\"https:\u002F\u002Fwww.virusview.net\u002F\" target=\"_blank\" rel=\"noopener\">計算機病毒百科\u003C\u002Fa> 這類入口，就適合拿來做初步比對。\u003C\u002Fp>\u003Cp>如果你在企業環境部署，還要順手看漏洞公告。像 \u003Ca href=\"https:\u002F\u002Fwww.cnvd.org.cn\u002F\" target=\"_blank\" rel=\"noopener\">CNVD\u003C\u002Fa>、\u003Ca href=\"https:\u002F\u002Fwww.cnnvd.org.cn\u002F\" target=\"_blank\" rel=\"noopener\">CNNVD\u003C\u002Fa>、\u003Ca href=\"https:\u002F\u002Fwww.nvdb.org.cn\u002F\" target=\"_blank\" rel=\"noopener\">NVDB\u003C\u002Fa>，都值得納入例行檢查。\u003C\u002Fp>\u003Cp>再加上 OpenClaw 官方安全更新。還有你自己的資產清冊。這些東西一起看，才知道哪些節點真的暴露在外面。\u003C\u002Fp>\u003Cp>如果你問我，哪個最先做。我會選三件事。先盤點暴露面。再收緊預設權限。最後才談擴充生態。順序錯了，後面都白忙。\u003C\u002Fp>\u003Cp>AI Agent 的安全，不是買一套工具就結束。它比較像持續維運。你要一直看、一直改、一直驗證。\u003C\u002Fp>\u003Ch2>背景脈絡：為什麼這類風險會越來越常見\u003C\u002Fh2>\u003Cp>這幾年，AI 工具從聊天介面，走向工作流自動化。大家不想只問答案。大家想要它直接幫忙做事。這就是 Agent 會紅的原因。\u003C\u002Fp>\u003Cp>但能力一多，風險也會一起長。以前模型只會回文字。現在它會碰檔案、API、瀏覽器、CLI。每多一個介面，就多一個攻擊面。\u003C\u002Fp>\u003Cp>開源生態也讓這件事更快。社群可以很快做出插件。問題是，審核通常跟不上。你會看到功能長得很快，安全流程卻還停在很早以前。\u003C\u002Fp>\u003Cp>這不是 OpenClaw 才有的問題。只要是會執行動作的 AI 工具，幾乎都會碰到同一套難題。差別只在於，誰先把權限、來源和隔離做好。\u003C\u002Fp>\u003Ch2>結尾：先做一個很務實的決定\u003C\u002Fh2>\u003Cp>我給的建議很簡單。先把 OpenClaw 當成高風險執行體，不要當一般工具看。你只要還沒做完權限盤點、插件審核、公網暴露檢查，就別急著上正式環境。\u003C\u002Fp>\u003Cp>如果你已經在用，今天就先檢查三件事：預設帳號有沒有關、Skills 來源乾不乾淨、主機有沒有直接暴露到公網。這三項先過，再談自動化。這樣比較像在做工程，不像在賭運氣。\u003C\u002Fp>","OpenClaw曝出1184個惡意技能包，23萬+實例暴露公網。本文拆解風險、漏洞、擴充生態與防護清單，給開發者可直接落地的檢查重點。","zhuanlan.zhihu.com","https:\u002F\u002Fzhuanlan.zhihu.com\u002Fp\u002F2020523232957089121",null,"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1775057612643-dbka.png","ai-agent","zh","a6f2284f-069c-40a0-9dd1-210cc37cb4c3",[17,18,19,20,21,22,23,24],"OpenClaw","AI Agent","安全風險","技能包投毒","公網暴露","最小權限","供應鏈安全","企業防護",7,"2026-04-01T09:54:40.76006+00:00","2026-04-01T09:54:40.641+00:00",{"tags":29,"relatedLang":35,"relatedPosts":39},[30,31,33],{"name":23,"slug":23},{"name":17,"slug":32},"openclaw",{"name":34,"slug":13},"AI agent",{"id":15,"slug":36,"title":37,"language":38},"openclaw-security-risks-and-defenses-en","OpenClaw安全风险与防护清单","en",[40,46,52,58,64,70],{"id":41,"slug":42,"title":43,"cover_image":44,"image_url":44,"created_at":45,"category":13},"cde225a8-eb8e-4724-a089-77f36af0e8a6","mcps-new-primitives-make-agent-middleware-obsolete-zh","MCP 的新原語，正在淘汰自製 agent middleware","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1782748974384-f5w9.png","2026-06-29T16:02:24.789168+00:00",{"id":47,"slug":48,"title":49,"cover_image":50,"image_url":50,"created_at":51,"category":13},"6e37d84c-aa27-4d4d-bbf1-81c47dc4522d","mcp-servers-ai-workflows-explained-zh","MCP Server 讓 AI 工具接上工作流","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1782747180723-q3gs.png","2026-06-29T15:32:33.536175+00:00",{"id":53,"slug":54,"title":55,"cover_image":56,"image_url":56,"created_at":57,"category":13},"a5333ae2-bfd1-434a-92dd-575e824538c3","openmontage-open-source-ai-video-production-zh","OpenMontage 證明 AI 影片製作該由開源接管","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1782685072512-v02f.png","2026-06-28T22:17:22.846394+00:00",{"id":59,"slug":60,"title":61,"cover_image":62,"image_url":62,"created_at":63,"category":13},"caea04da-9e30-4eb8-bb08-2ac3afc4f09e","gemini-35-flash-computer-use-safeguards-zh","Gemini 3.5 Flash 讓你寫電腦操作腳本","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1782681504454-c1ly.png","2026-06-28T21:17:56.883563+00:00",{"id":65,"slug":66,"title":67,"cover_image":68,"image_url":68,"created_at":69,"category":13},"362a448e-b40e-437c-9529-94b0fd6a7689","design-md-bridge-taste-to-ui-scaffolds-zh","DESIGN.md 是把品味變成 UI 骨架的缺失橋樑","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1782586072806-w93e.png","2026-06-27T18:47:23.886521+00:00",{"id":71,"slug":72,"title":73,"cover_image":74,"image_url":74,"created_at":75,"category":13},"4a77707d-c370-4584-bf40-e71c0414720e","openclaw-agent-control-layer-matters-zh","OpenClaw 證明：代理系統的勝負在控制層，不在模型","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1782561770712-4ch7.png","2026-06-27T12:02:20.114404+00:00",[77,82,87,92,97,102,107,112,117,122],{"id":78,"slug":79,"title":80,"created_at":81},"4ae1e197-1d3d-4233-8733-eafe9cb6438b","claude-now-uses-your-pc-to-finish-tasks-zh","Claude 開始幫你操作電腦","2026-03-26T07:20:48.457387+00:00",{"id":83,"slug":84,"title":85,"created_at":86},"5bede67f-e21c-413d-9ab8-54a3c3d26227","googles-2026-ai-agent-report-decoded-zh","Google 2026 AI Agent 報告解讀","2026-03-26T11:15:22.651956+00:00",{"id":88,"slug":89,"title":90,"created_at":91},"2987d097-563f-46c7-b76f-b558d8ef7c2b","kimi-k25-review-stronger-still-not-legend-zh","Kimi K2.5 評測：更強，但還不是神作","2026-03-27T07:15:55.277513+00:00",{"id":93,"slug":94,"title":95,"created_at":96},"95c9053b-e3f4-4cb5-aace-5c54f4c9e044","claude-code-controls-mac-desktop-zh","Claude Code 也能操控 Mac 了","2026-03-28T03:01:58.58121+00:00",{"id":98,"slug":99,"title":100,"created_at":101},"dc58e153-e3a8-4c06-9b96-1aa64eabbf5f","cloudflare-100x-faster-ai-agent-sandbox-zh","Cloudflare 的 AI 沙箱跑超快","2026-03-28T03:09:44.142236+00:00",{"id":103,"slug":104,"title":105,"created_at":106},"1c8afc56-253f-47a2-979f-1065ff072f2a","openai-backs-isara-agent-swarm-bet-zh","OpenAI 挺 Isara 的 agent swarm …","2026-03-28T03:15:27.513155+00:00",{"id":108,"slug":109,"title":110,"created_at":111},"7379b422-576e-45df-ad5a-d57a0d9dd467","openai-plan-automated-ai-researcher-zh","OpenAI 想做自動化 AI 研究員","2026-03-28T03:17:42.090548+00:00",{"id":113,"slug":114,"title":115,"created_at":116},"48c9889e-86df-450b-a356-e4a4b7c83c5b","harness-engineering-ai-agent-reliability-2026-zh","駕馭工程：從「馬具」到「作業系統」，AI Agent 可靠性的終極密碼","2026-03-31T06:42:53.556721+00:00",{"id":118,"slug":119,"title":120,"created_at":121},"96d8e8c8-1edd-475d-9145-b1e7a1b02b65","mcp-explained-from-prompts-to-production-zh","MCP 怎麼把提示詞變工作流","2026-04-01T09:24:39.321274+00:00",{"id":123,"slug":124,"title":125,"created_at":126},"f2ca7720-b471-4ce5-9336-2a9ac2a876fd","amazon-bedrock-agents-multi-agent-workflows-zh","Amazon Bedrock Agents 進入多代理工作流","2026-04-01T09:30:29.945429+00:00"]