[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"article-openclaw-security-risks-and-defenses-zh":3,"tags-openclaw-security-risks-and-defenses-zh":33,"related-lang-openclaw-security-risks-and-defenses-zh":44,"related-posts-openclaw-security-risks-and-defenses-zh":48,"series-ai-agent-9dd23277-9adf-4eba-910f-cb8c7dbcb512":85},{"id":4,"title":5,"content":6,"summary":7,"source":8,"source_url":9,"author":10,"image_url":11,"keywords":12,"language":21,"translated_content":10,"views":22,"is_premium":23,"created_at":24,"updated_at":24,"cover_image":11,"published_at":25,"rewrite_status":26,"rewrite_error":10,"rewritten_from_id":27,"slug":28,"category":29,"related_article_id":30,"status":31,"google_indexed_at":32,"x_posted_at":10,"tweet_text":10,"title_rewritten_at":10,"title_original":10,"key_takeaways":10,"topic_cluster_id":10,"embedding":10,"is_canonical_seed":23},"9dd23277-9adf-4eba-910f-cb8c7dbcb512","OpenClaw安全風險與防護清單","\u003Cp>\u003Ca href=\"https:\u002F\u002Fgithub.com\u002Fopenclaw\" target=\"_blank\" rel=\"noopener\">OpenClaw\u003C\u002Fa> 這類本地 AI Agent，正在把聊天模型變成執行工具。安天披露的分析裡，單一平台就抓到 1184 個惡意技能包。全球還有 23 萬+ 實例，因預設配置不當暴露在公網。\u003C\u002Fp>\u003Cp>講白了，這不是一般軟體風險。它會讀檔、跑命令、連外網。你一旦把它放進辦公機、伺服器，或接上企業資料源，安全邊界就會變得很薄。\u003C\u002Fp>\u003Cp>我覺得這類工具很猛，也很危險。因為它不是只回答問題。它還會替你做事。這種能力一旦配上高權限，事情就會變得很難收拾。\u003C\u002Fp>\u003Ch2>OpenClaw 是什麼，為什麼風險高\u003C\u002Fh2>\u003Cp>\u003Ca href=\"\u002Fnews\u002Fopenclaw-multi-agent-deployment-app-platform-zh\">Open\u003C\u002Fa>Claw 是一個開源 AI 智能體。它把 LLM、終端、檔案系統和第三方技能包綁在一起。它能自動處理文件整理、郵件、腳本和資料清理。\u003C\u002Fp>\n\u003Cfigure class=\"my-6\">\u003Cimg src=\"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1775057612643-dbka.png\" alt=\"OpenClaw安全風險與防護清單\" class=\"rounded-xl w-full\" loading=\"lazy\" \u002F>\u003C\u002Ffigure>\n\u003Cp>這種設計很方便。開發者可以少寫很多膠水碼。使用者也能把重複工作交給 Agent。\u003C\u002Fp>\u003Cp>但問題也很直接。當它拿到系統權限後，它就不只是聊天機器人。它會碰到憑證、瀏覽器 session、內網 API，甚至整台機器的控制權。\u003C\u002Fp>\u003Cp>安天提到的核心問題很明確。\u003Ca href=\"\u002Fnews\u002Fopenclaw-ai-worker-privacy-security-costs-zh\">Open\u003C\u002Fa>Claw 與主機系統深度整合。權限邊界模糊。隔離不足。第三方擴充也缺少一致審核。這些點疊在一起，攻擊面就很大。\u003C\u002Fp>\u003Cul>\u003Cli>2026 年 2 月，ClawHub 出現大規模技能包投毒\u003C\u002Fli>\u003Cli>單一平台檢出 1184 個惡意技能包\u003C\u002Fli>\u003Cli>單一攻擊者最高上傳 677 個毒化插件\u003C\u002Fli>\u003Cli>全球 23 萬+ 實例暴露公網\u003C\u002Fli>\u003Cli>部分實例已出現敏感資料外洩\u003C\u002Fli>\u003C\u002Ful>\u003Cp>這些數字不是拿來嚇人。它們是在說一件事：AI Agent 的風險，不只在模型本身。更在它連到哪裡、能做什麼、誰能塞進去什麼東西。\u003C\u002Fp>\u003Ch2>最危險的是擴充生態，不是模型回答錯\u003C\u002Fh2>\u003Cp>\u003Ca href=\"\u002Fnews\u002Fopenclaw-13-chinese-tech-giants-race-zh\">Open\u003C\u002Fa>Claw 真正的風險中心，常常是 Skills 生態。Skills 本來是加功能的。可是一旦缺少審核，它也能變成加後門。\u003C\u002Fp>\u003Cp>安天提到的「利爪浩劫」就是典型案例。攻擊者把惡意技能包包裝成工具。再透過說明文件，誘導使用者執行終端命令，或下載未知二進位檔。\u003C\u002Fp>\u003Cp>使用者以為自己在安裝插件。其實是在幫攻擊者開門。這種手法很老，但放到 AI Agent 身上就很有效。因為使用者會更信任「看起來像官方工具」的東西。\u003C\u002Fp>\u003Cblockquote>“The absence of trust boundaries between the agent, the user, and external content creates a new class of security problem.” — \u003Ca href=\"https:\u002F\u002Flabs.zenity.io\u002F\" target=\"_blank\" rel=\"noopener\">Zenity Labs\u003C\u002Fa>\u003C\u002Fblockquote>\u003Cp>這句話很貼切。信任鏈條太長，就容易出事。使用者信任 Skills。Skills 信任腳本。腳本信任網路。模型又把這些內容塞進同一個上下文。\u003C\u002Fp>\u003Cp>最後，外部輸入就會被當成內部指令。這不是單點漏洞。這是整條流程都太鬆。\u003C\u002Fp>\u003Cp>再看供應鏈。Node.js 和 npm 依賴很多。只要上游套件被污染，安裝時就可能靜默執行惡意腳本。對 AI Agent 來說，這比傳統桌面軟體更麻煩，因為它通常權限更高，還會自動化執行。\u003C\u002Fp>\u003Cul>\u003Cli>Skills 可被包裝成正常工具\u003C\u002Fli>\u003Cli>安裝說明可夾帶惡意命令\u003C\u002Fli>\u003Cli>npm 依賴可能在安裝時執行腳本\u003C\u002Fli>\u003Cli>模型會把外部內容納入推理上下文\u003C\u002Fli>\u003Cli>使用者很難肉眼看出差異\u003C\u002Fli>\u003C\u002Ful>\u003Cp>說真的，這就是 AI Agent 安全的老問題新包裝。你不是在審一個 app。你是在審一個會自己動手的執行體。\u003C\u002Fp>\u003Ch2>和傳統軟體比，OpenClaw 暴露面大多少\u003C\u002Fh2>\u003Cp>如果把傳統桌面軟體、瀏覽器插件、AI Agent 放一起比，OpenClaw 的攻擊面更大。傳統軟體多半只做一件事。AI Agent 卻會同時碰檔案、命令列、網頁和第三方服務。\u003C\u002Fp>\n\u003Cfigure class=\"my-6\">\u003Cimg src=\"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1775057630609-fxdo.png\" alt=\"OpenClaw安全風險與防護清單\" class=\"rounded-xl w-full\" loading=\"lazy\" \u002F>\u003C\u002Ffigure>\n\u003Cp>安天引用的統計也很直接。CNNVD 在 2026 年 1 月到 3 月 9 日之間，收錄了 82 個 OpenClaw 漏洞。其中 12 個超危，21 個高危，47 個中危。\u003C\u002Fp>\u003Cp>這種漏洞密度不算低。尤其對一個還在擴張的開源專案來說，更不能只看功能表現。你還得看它的部署方式、預設權限和外部暴露面。\u003C\u002Fp>\u003Cp>更麻煩的是，很多人會直接把它放到聯網主機。預設配置沒改。驗證沒開。結果原本應該在本機跑的 Agent，變成互聯網上可掃描、可接管的入口。\u003C\u002Fp>\u003Cul>\u003Cli>漏洞總數：82\u003C\u002Fli>\u003Cli>超危漏洞：12\u003C\u002Fli>\u003Cli>高危漏洞：21\u003C\u002Fli>\u003Cli>中危漏洞：47\u003C\u002Fli>\u003Cli>公網暴露實例：23 萬+\u003C\u002Fli>\u003C\u002Ful>\u003Cp>如果你是開發者，這裡有個很現實的對照。傳統 SaaS 外洩，常常是資料問題。AI Agent 外洩，常常連執行權都一起送出去。這差很多。\u003C\u002Fp>\u003Cp>你可以把它想成一個會聊天的自動化工作站。只要它能下命令，風險就不只在資料被看見，而是資料被改掉、被刪掉、被轉出去。\u003C\u002Fp>\u003Ch2>防護怎麼做，先收權限，再收插件\u003C\u002Fh2>\u003Cp>如果你真的要部署 OpenClaw，第一步不是裝更多 Skills。第一步是收權限。最小權限原則在這裡不是教科書口號，而是底線。\u003C\u002Fp>\u003Cp>不要直接給管理員權限。不要讓 Agent 預設可刪檔、改設定、對外連線。你只要一開始放太鬆，後面就很難補。\u003C\u002Fp>\u003Cp>第二步是隔離。把它放進容器、虛擬機，或單獨執行環境。不要讓它跟核心業務主機共用高價值憑證。高風險動作最好加人工確認。\u003C\u002Fp>\u003Cp>第三步是控管來源。官方渠道、可信倉庫、經過審計的技能包，優先順序都要高於社群轉貼連結。只要它要求你下載 ZIP、執行 Shell 腳本、輸入帳密，你就先停一下。\u003C\u002Fp>\u003Cp>安天給的防護方向也很實際。只啟用必要 Skills。關掉不需要的擴充。定期掃漏洞。即時更新補丁。開啟完整日誌。把可疑技能送去做靜態檢查和行為分析。\u003C\u002Fp>\u003Cul>\u003Cli>只開啟真正需要的 Skills\u003C\u002Fli>\u003Cli>把 OpenClaw 放進隔離環境\u003C\u002Fli>\u003Cli>對 SKILL.md 與安裝腳本做審計\u003C\u002Fli>\u003Cli>盤點公網暴露端口\u003C\u002Fli>\u003Cli>接入端點防護與惡意檔案檢測\u003C\u002Fli>\u003C\u002Ful>\u003Cp>我會再補一條。高風險操作要加人工核准。像刪檔、外發、下載、執行腳本，這些都不該完全自動化。少一步自動化，通常就少一個事故點。\u003C\u002Fp>\u003Ch2>哪些工具先上，哪些檢查先做\u003C\u002Fh2>\u003Cp>安天提到的終端防護產品 \u003Ca href=\"https:\u002F\u002Fwww.antiy.cn\u002F\" target=\"_blank\" rel=\"noopener\">安天智甲\u003C\u002Fa>，重點在主機防護、行為管控、介質管控、郵件防護和動態備份。對會直接讀寫本地檔案、呼叫命令列的 Agent 來說，這類主機側防線很有用。\u003C\u002Fp>\u003Cp>另一個方向，是針對 Skills 的專項排查工具。你可以先把本地技能包批量掃過一輪。可疑檔案再送去做分析。像 \u003Ca href=\"https:\u002F\u002Fwww.virusview.net\u002F\" target=\"_blank\" rel=\"noopener\">計算機病毒百科\u003C\u002Fa> 這類入口，就適合拿來做初步比對。\u003C\u002Fp>\u003Cp>如果你在企業環境部署，還要順手看漏洞公告。像 \u003Ca href=\"https:\u002F\u002Fwww.cnvd.org.cn\u002F\" target=\"_blank\" rel=\"noopener\">CNVD\u003C\u002Fa>、\u003Ca href=\"https:\u002F\u002Fwww.cnnvd.org.cn\u002F\" target=\"_blank\" rel=\"noopener\">CNNVD\u003C\u002Fa>、\u003Ca href=\"https:\u002F\u002Fwww.nvdb.org.cn\u002F\" target=\"_blank\" rel=\"noopener\">NVDB\u003C\u002Fa>，都值得納入例行檢查。\u003C\u002Fp>\u003Cp>再加上 OpenClaw 官方安全更新。還有你自己的資產清冊。這些東西一起看，才知道哪些節點真的暴露在外面。\u003C\u002Fp>\u003Cp>如果你問我，哪個最先做。我會選三件事。先盤點暴露面。再收緊預設權限。最後才談擴充生態。順序錯了，後面都白忙。\u003C\u002Fp>\u003Cp>AI Agent 的安全，不是買一套工具就結束。它比較像持續維運。你要一直看、一直改、一直驗證。\u003C\u002Fp>\u003Ch2>背景脈絡：為什麼這類風險會越來越常見\u003C\u002Fh2>\u003Cp>這幾年，AI 工具從聊天介面，走向工作流自動化。大家不想只問答案。大家想要它直接幫忙做事。這就是 Agent 會紅的原因。\u003C\u002Fp>\u003Cp>但能力一多，風險也會一起長。以前模型只會回文字。現在它會碰檔案、API、瀏覽器、CLI。每多一個介面，就多一個攻擊面。\u003C\u002Fp>\u003Cp>開源生態也讓這件事更快。社群可以很快做出插件。問題是，審核通常跟不上。你會看到功能長得很快，安全流程卻還停在很早以前。\u003C\u002Fp>\u003Cp>這不是 OpenClaw 才有的問題。只要是會執行動作的 AI 工具，幾乎都會碰到同一套難題。差別只在於，誰先把權限、來源和隔離做好。\u003C\u002Fp>\u003Ch2>結尾：先做一個很務實的決定\u003C\u002Fh2>\u003Cp>我給的建議很簡單。先把 OpenClaw 當成高風險執行體，不要當一般工具看。你只要還沒做完權限盤點、插件審核、公網暴露檢查，就別急著上正式環境。\u003C\u002Fp>\u003Cp>如果你已經在用，今天就先檢查三件事：預設帳號有沒有關、Skills 來源乾不乾淨、主機有沒有直接暴露到公網。這三項先過，再談自動化。這樣比較像在做工程，不像在賭運氣。\u003C\u002Fp>","OpenClaw曝出1184個惡意技能包，23萬+實例暴露公網。本文拆解風險、漏洞、擴充生態與防護清單，給開發者可直接落地的檢查重點。","zhuanlan.zhihu.com","https:\u002F\u002Fzhuanlan.zhihu.com\u002Fp\u002F2020523232957089121",null,"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1775057612643-dbka.png",[13,14,15,16,17,18,19,20],"OpenClaw","AI Agent","安全風險","技能包投毒","公網暴露","最小權限","供應鏈安全","企業防護","zh",1,false,"2026-04-01T09:54:40.76006+00:00","2026-04-01T09:54:40.641+00:00","done","cf034289-1431-431e-be07-010d8939a7fa","openclaw-security-risks-and-defenses-zh","ai-agent","a6f2284f-069c-40a0-9dd1-210cc37cb4c3","published","2026-04-09T09:00:54.558+00:00",[34,35,36,37,38,40,42,43],{"name":16,"slug":16},{"name":19,"slug":19},{"name":17,"slug":17},{"name":18,"slug":18},{"name":13,"slug":39},"openclaw",{"name":41,"slug":29},"AI agent",{"name":20,"slug":20},{"name":15,"slug":15},{"id":30,"slug":45,"title":46,"language":47},"openclaw-security-risks-and-defenses-en","OpenClaw安全风险与防护清单","en",[49,55,61,67,73,79],{"id":50,"slug":51,"title":52,"cover_image":53,"image_url":53,"created_at":54,"category":29},"38406a12-f833-4c69-ae22-99c31f03dd52","switch-ai-outputs-markdown-to-html-zh","怎麼把 AI 輸出改成 HTML","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1778743243861-8901.png","2026-05-14T07:20:21.545364+00:00",{"id":56,"slug":57,"title":58,"cover_image":59,"image_url":59,"created_at":60,"category":29},"c7c69fe4-97e3-4edf-a9d6-a79d0c4495b4","anthropic-cat-wu-proactive-ai-assistants-zh","Cat Wu 談 Claude 的主動式 AI","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1778735455993-gnw7.png","2026-05-14T05:10:30.453046+00:00",{"id":62,"slug":63,"title":64,"cover_image":65,"image_url":65,"created_at":66,"category":29},"e1d6acda-fa49-4514-aa75-709504be9f93","how-to-run-hermes-agent-on-discord-zh","如何在 Discord 執行 Hermes Agent","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1778724655796-cjul.png","2026-05-14T02:10:34.362605+00:00",{"id":68,"slug":69,"title":70,"cover_image":71,"image_url":71,"created_at":72,"category":29},"4104fa5f-d95f-45c5-9032-99416cf0365c","why-ragflow-is-the-right-open-source-rag-engine-to-self-host-zh","為什麼 RAGFlow 是最適合自架的開源 RAG 引擎","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1778674262278-1630.png","2026-05-13T12:10:23.762632+00:00",{"id":74,"slug":75,"title":76,"cover_image":77,"image_url":77,"created_at":78,"category":29},"7095f05c-34f5-469f-a044-2525d2010ce9","how-to-add-temporal-rag-in-production-zh","如何在正式環境加入 Temporal RAG","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1778667053844-osvs.png","2026-05-13T10:10:30.930982+00:00",{"id":80,"slug":81,"title":82,"cover_image":83,"image_url":83,"created_at":84,"category":29},"10479c95-53c6-4723-9aaa-2fde5fb19ee7","github-agentic-workflows-ai-github-actions-zh","GitHub 把 AI 代理放進 Actions","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1778551884342-8io7.png","2026-05-12T02:11:02.069769+00:00",[86,91,96,101,106,111,116,121,126,131],{"id":87,"slug":88,"title":89,"created_at":90},"4ae1e197-1d3d-4233-8733-eafe9cb6438b","claude-now-uses-your-pc-to-finish-tasks-zh","Claude 開始幫你操作電腦","2026-03-26T07:20:48.457387+00:00",{"id":92,"slug":93,"title":94,"created_at":95},"5bede67f-e21c-413d-9ab8-54a3c3d26227","googles-2026-ai-agent-report-decoded-zh","Google 2026 AI Agent 報告解讀","2026-03-26T11:15:22.651956+00:00",{"id":97,"slug":98,"title":99,"created_at":100},"2987d097-563f-46c7-b76f-b558d8ef7c2b","kimi-k25-review-stronger-still-not-legend-zh","Kimi K2.5 評測：更強，但還不是神作","2026-03-27T07:15:55.277513+00:00",{"id":102,"slug":103,"title":104,"created_at":105},"95c9053b-e3f4-4cb5-aace-5c54f4c9e044","claude-code-controls-mac-desktop-zh","Claude Code 也能操控 Mac 了","2026-03-28T03:01:58.58121+00:00",{"id":107,"slug":108,"title":109,"created_at":110},"dc58e153-e3a8-4c06-9b96-1aa64eabbf5f","cloudflare-100x-faster-ai-agent-sandbox-zh","Cloudflare 的 AI 沙箱跑超快","2026-03-28T03:09:44.142236+00:00",{"id":112,"slug":113,"title":114,"created_at":115},"1c8afc56-253f-47a2-979f-1065ff072f2a","openai-backs-isara-agent-swarm-bet-zh","OpenAI 挺 Isara 的 agent swarm …","2026-03-28T03:15:27.513155+00:00",{"id":117,"slug":118,"title":119,"created_at":120},"7379b422-576e-45df-ad5a-d57a0d9dd467","openai-plan-automated-ai-researcher-zh","OpenAI 想做自動化 AI 研究員","2026-03-28T03:17:42.090548+00:00",{"id":122,"slug":123,"title":124,"created_at":125},"48c9889e-86df-450b-a356-e4a4b7c83c5b","harness-engineering-ai-agent-reliability-2026-zh","駕馭工程：從「馬具」到「作業系統」，AI Agent 可靠性的終極密碼","2026-03-31T06:42:53.556721+00:00",{"id":127,"slug":128,"title":129,"created_at":130},"e41546b8-ba9e-455f-9159-88d4614ad711","openai-codex-plugin-claude-code-zh","OpenAI 把 Codex 放進 Claude Code","2026-04-01T09:21:54.687617+00:00",{"id":132,"slug":133,"title":134,"created_at":135},"96d8e8c8-1edd-475d-9145-b1e7a1b02b65","mcp-explained-from-prompts-to-production-zh","MCP 怎麼把提示詞變工作流","2026-04-01T09:24:39.321274+00:00"]