養AI龍蝦出事了！OpenClaw爆重大漏...

OpenClaw爆發嚴重的資安漏洞。（圖／路透社）

OpenClaw是近來爆紅的AI代理工具，也被網友戲稱「養龍蝦」。不過，最近卻爆發嚴重的資安漏洞，有在使用OpenClaw的使用者可得特別留意了。

OpenClaw存在重大漏洞(CVE-2026-33579)，恐讓攻擊者在毫無阻礙的情況下，直接取得完整管理員權限。安全人員更揭露，在對外連網的OpenClaw系統中，約63%未設任何身分驗證機制，形同門戶大開。

請繼續往下閱讀...

漏洞影響廣泛

這起漏洞最嚴重之處，在於攻擊者即便只有最低權限，也能自行批准自己的管理員權限申請，完全繞過正常審核流程。換句話說，系統並未真正檢查「授權者是否具備權限」，使得整套安全機制形同虛設。一旦取得管理員權限，攻擊者就能進一步存取各類高度敏感資訊。

用更直白的比喻來說，就像一名訪客走進辦公大樓，不只可以要求一把萬用鑰匙，還能自己簽名核准，最後直接掌控整棟大樓。

此漏洞影響規模廣泛，在所有可從外部存取的OpenClaw系統中，約有63%完全沒有任何登入驗證機制。這意味著攻擊者甚至不需要帳號，就能直接從網頁進入系統，並迅速將自己升級為管理員。

OpenClaw修復兩天才公開

雖然OpenClaw團隊已在4月5日完成漏洞修補，但相關資訊直到兩天後才正式公開。這段約48小時的時間，恐怕讓有心人士在多數用戶尚未察覺前，搶先發動攻擊。

儘管OpenClaw創辦人Peter Steinberger一向強調：「沒有任何系統是絕對安全的。」但這次事件也再次凸顯「代理型AI」的雙面刃特性，當系統具備代替用戶執行任務的能力時，一旦遭到入侵，風險將遠高於傳統軟體漏洞。據了解，已有部分企業全面禁止在公司電腦使用OpenClaw，以避免潛在資料外洩風險。