OpenClaw 快速普及 高權限 AI 代理平台同時暴露 skills 供應鏈與假冒安裝風險
OpenClaw 是近期快速普及的開源 AI 代理平台,主打可自託管(self-hosted)、可透過 skills 擴充能力,並可與本機環境及外部服務整合。官方文件顯示,ClawHub 是 OpenClaw 的公開 skill registry,用戶可透過該平台搜尋、安裝、更新及發佈 skills,而 skills 一般以 SKILL.md 及相關支援檔案構成。官方亦明確提醒,第三方 skills 應被視為不受信任程式碼(untrusted code)處理。
隨着 OpenClaw 生態快速擴張,公開研究及多家媒體報道亦持續指出其相關安全風險,包括惡意 skills 供應鏈投毒、假冒安裝專案及搜尋結果投毒等攻擊手法。此外,網安研究人員亦曾披露一宗已修補的高嚴重性漏洞,可令惡意網站在無需外掛、瀏覽器擴充功能或使用者互動的情況下接管 OpenClaw 代理。
(圖片由生成式AI創建,並經人類專業監督及審核。)
OpenClaw 受到關注,原因在於它並非一般只提供文字回應的聊天式 AI 工具,而是一類可在本機或伺服器上運行、並可透過 skills 及工具與外部環境互動的 AI 代理平台。官方文件顯示,OpenClaw 支援以工作區技能(workspace skills)、本機技能及 bundled skills 等形式載入能力擴充元件,而 ClawHub 則作為公開技能註冊中心,提供 skills 的搜尋、下載、安裝、更新及發佈功能。
根據官方文件,skills 通常由 SKILL.md 及其他支援檔案組成,用於向代理提供特定功能、工具定義或操作指引。官方亦在安全說明中提醒,用戶應把第三方 skills 視作不受信任程式碼,並建議在面對不受信任輸入或高風險工具時採用隔離或沙箱化運行方式。
這種開放式擴充生態有助 OpenClaw 快速建立功能網絡效應,但同時亦擴大了第三方元件帶來的供應鏈風險。有報道指出,OpenClaw 已與 VirusTotal 合作,對上傳到 ClawHub 的 skills 進行威脅情報及掃描;若 skills 被判定為惡意,將被阻止下載,而所有現有 主流 skills 亦會每日重掃。報道同時指出,平台維護者亦提醒,有關掃描機制並非萬無一失,部份隱藏較深的 prompt injection 類載荷仍可能繞過檢測。
在實際威脅方面,Trend Micro 指出,攻擊者曾把惡意內容偽裝成 OpenClaw skills,並透過看似正常的 SKILL.md 指令,誘使代理或使用者安裝假的 prerequisite 或 CLI 工具,最終於 macOS 裝置上投遞 Atomic macOS Stealer(AMOS)。Trend Micro 形容,這類攻擊反映威脅行為者正利用 AI agent 作為「受信任中介人」,將原本高風險的惡意操作包裝成看似正常的安裝或設定步驟。
另一方面,有分析指出,攻擊者亦曾建立假冒 OpenClaw 安裝專案及 GitHub repository,並利用 Bing 的 AI-enhanced search results,向搜尋 OpenClaw Windows 安裝程式的用戶推薦惡意下載來源。相關個案顯示,受害者可能因信任搜尋結果或 GitHub 平台而下載惡意安裝檔,最終導致資訊竊取惡意程式及代理惡意程式(proxy malware )感染。
除第三方 skills 及假冒安裝來源外,OpenClaw 核心平台本身亦曾被披露存在高嚴重性漏洞。有研究指出,OpenClaw 曾存在一條可被惡意網站利用的漏洞鏈,令攻擊者可在無需外掛、瀏覽器擴充功能或使用者互動的情況下,靜默接管開發者的 AI 代理。研究亦指出,OpenClaw 團隊已將有關問題歸類為高嚴重性,並已提供修復。
風險影響
綜合官方文件及公開研究,OpenClaw 與同類AI 代理平台的一個主要特點,是其可與本機檔案、工具、腳本及外部服務緊密整合,並透過 skills 持續擴充能力。這種設計能夠提升自動化效率,但亦代表其 攻擊面較一般聊天式 AI 工具更大,一旦被惡意網站、惡意 skills 或假冒安裝來源利用,可能導致敏感資料外洩、憑證遭盜取、惡意程式安裝,甚至進一步影響企業端點及工作流程安全。
對機構而言,相關風險不應只被視為單一應用程式的安全問題,而應被視作一類具高權限、可執行自動化操作的 AI 代理風險。尤其當 skills 被官方明確提醒應視為不受信任程式碼時,若缺乏版本管理、skills 審核、最小權限設定、端點防護及持續監察機制,便有機會令有關平台在正式資訊保安管治之外被快速採納,增加「影子 AI」及供應鏈滲透風險。
安全建議
- 核實下載來源與安裝指引
近期個案顯示,假冒 GitHub repository 及搜尋結果推介可被濫用作惡意分發渠道。用戶應優先依賴官方網站、官方文件及官方 repository 所提供的下載與安裝資訊。
- 以「最小權限」及「零信任」原則部署
建議相關機構及個人用戶在部署及使用 OpenClaw 時,採取「最小權限」及「零信任」原則作為基本安全要求。就「最小權限」而言,OpenClaw 只應獲授執行指定任務所需的最低權限,並應避免以系統管理員權限運行。就「零信任」而言,不應預設信任代理程式、第三方 Skill、外部網頁內容或內部網絡環境,而應對所有存取請求、工具調用及高風險操作採取「先驗證、後執行」方式處理。
- 更新 OpenClaw 版本
已部署 OpenClaw 的用戶應確認版本是否已更新至最新版本,以修補已公開披露的高嚴重性漏洞。
- 審慎安裝第三方 skills
即使平台已引入 VirusTotal 掃描機制,公開報道指出該措施並不能完全杜絕風險。用戶不應單憑 skill 名稱、下載量、描述頁面或表面功能便信任有關元件。 若環境容許,應先審核有關skill的程式碼、權限需求、對外連線及敏感資料存取行為,再決定是否安裝。
- 警惕 Agent 要求執行額外安裝或高風險操作
若 AI 代理提示用戶下載額外工具、貼上終端機指令、安裝驅動、輸入系統密碼,或以「必要前置套件」名義要求執行額外操作,應視為高風險事件,並先核實有關要求是否來自可信及必要來源。公開案例已顯示,攻擊者會利用這類步驟作為社交工程及惡意程式投遞鏈的一部分。
- 以高權限自動化平台方式管理 OpenClaw
機構若評估引入 OpenClaw,應把其視為可操作本機資源及外部服務的高權限 agent,而非一般聊天工具,並把版本管理、skills 審核、最小權限、端點防護及持續監察納入整體管治措施。
- 不要把管理介面直接暴露到公網
OpenClaw 的管理介面不應直接暴露於互聯網。建議只容許本機、內網或受控白名單存取,並透過身份驗證、加密通道或其他存取控制機制收窄暴露面,以減低被掃描、爆破或未經授權存取的風險。
- 對運行環境實施嚴格隔離
如確有需要使用 OpenClaw,應以容器、沙箱或虛擬機方式運行,並限制其只可接觸指定工作目錄及必要資源,避免直接在主機高權限運行。尤其不應以 root 或系統管理員權限執行,亦不應讓其隨意存取整個檔案系統,以減低誤操作、越權及失控後的影響範圍。
- 建立日誌、審計及異常監察機制
建議為 OpenClaw 保留操作記錄、工具調用日誌及高風險事件記錄,並定期檢查核心設定檔是否被未經授權更改。若環境容許,應建立定時巡檢及異常警報機制,以便及早發現可疑行為、外發請求或未授權變更,提升追蹤及應變能力。
- 預先準備應急停機及恢復安排
如發現 OpenClaw 出現異常行為,例如異常對外連線、大量資源消耗、可疑刪改檔案或設定被更改,應立即中止其執行環境,切斷相關容器或服務,避免進一步擴散。同時,應預先建立備份及恢復機制,確保在代理失控、資料受損或懷疑被入侵時,可迅速回復至已知安全狀態。
參考資料
OpenClaw 官方文件(Skills / ClawHub / Creating Skills) [docs.openclaw.ai], [openclaws.io], [openclaws.io]
- Oasis Security:OpenClaw Vulnerability Enables Full Agent Takeover [oasis.security]
- The Hacker News:OpenClaw Integrates VirusTotal Scanning to Detect Malicious ClawHub Skills [thehackernews.com]
- Trend Micro:Malicious OpenClaw Skills Used to Distribute Atomic MacOS Stealer [trendmicro.com]
- BleepingComputer:Bing AI promoted fake OpenClaw GitHub repo pushing info-stealing malware [bleepingcomputer.com]
- The Register:Malware-laced OpenClaw installers get Bing AI search boost [theregister.com]
- Huntress:How a Threat Actor Used Fake OpenClaw Installers to Infect Systems with GhostSocks and Information Stealers [huntress.com]
- 关于防范OpenClaw(“龙虾”)开源智能体安全风险的“六要六不要”建议 [中国信通院]
分享至