開源AI代理工具OpenClaw爆出高危漏洞CVE-2026-25253，允許惡意網站在開發者不知情、無需任何外掛或瀏覽器擴充功能的情況下，直接劫持本地運行的AI代理，竊取認證權杖並完全控制裝置。漏洞發現者Oasis Security於2月24日通報，OpenClaw團隊不到24小時內發布修補版本2026.2.25，並強烈建議所有用戶「立即更新，視同緊急安全修補」。此事件為OpenClaw自去年11月推出以來一系列安全問題的最新一環，凸顯開發者社群對這款病毒式成長工具的安全治理嚴重不足，對台灣大量採用AI代理的科技新創與軟體開發團隊構成即時風險。

 

OpenClaw（前身為MoltBot與Clawdbot）是一款本地運行的個人AI助理，能整合訊息應用、行事曆、開發工具，自動化工作流程、管理檔案、執行殼命令，並透過ClawHub市場擴充「技能」（skills）。憑藉開源、本地控制與快速成長的生態系，OpenClaw在短短三個月內成為GitHub最受星標專案，超越React等經典專案。然而，快速採用也帶來快速暴露的安全風險。

 

CVE-2026-25253核心問題在於OpenClaw錯誤假設「來自localhost的連線皆可信任」，未區分開發者信任應用與瀏覽器中惡意網站發起的連線。Oasis Security研究員發現，若開發者瀏覽任何攻擊者控制或遭入侵的網站，該頁面JavaScript即可靜默開啟WebSocket，直接連線至OpenClaw的本地閘道。由於OpenClaw對閘道密碼未設速率限制或失敗門檻，攻擊者可暴力破解密碼。一旦認證成功，即可註冊任意惡意腳本為「信任」，取得裝置完整控制權。

 

Oasis Security警告：「若已安裝OpenClaw，請立即更新至2026.2.25以上版本，所有實例皆需升級。」漏洞雖已修補，但OpenClaw過去數月已累積多項嚴重問題，包括：

 

Cequence Security資安長Randolph Barr表示，OpenClaw雖具基本防護（如認證、裝置限制、工具控制與沙箱選項），但本地執行且廣泛存取檔案、憑證與連動系統，仍難以完全消除風險。「真正防護需仰賴多層防禦：MDM強制執行、移除管理員權限、範圍限定憑證、API監控、速率限制與沙箱。」他建議成熟企業將安全控制移至執行層，較不成熟環境則從「認證後信任」轉向持續驗證非人類身分（AI代理）的行為。

 

Sectigo資深研究員Jason Soroko更建議將任何瀏覽器可存取的本地AI閘道視為「網際網路暴露服務」：優先使用Unix domain socket或named pipe移除瀏覽器路徑，或透過原生中介程式擁有連線；強制Origin白名單、採用mTLS或簽署挑戰驗證客戶端身分、禁用基於來源IP的自動核准；並透過能力模型（capability model）限制代理動作範圍，包括動詞、目錄、目的地與時間，對高風險操作（如殼執行、憑證存取、大規模資料讀取）要求逐步同意（step-up consent）。

 

對台灣影響深遠。台灣擁有全球最活躍的開發者社群與AI新創生態，OpenClaw因免費、本地執行與強大擴充性，迅速成為許多工程師的首選工具。若未及時更新或強化防護，開發者電腦可能遭劫持，導致原始碼外洩、憑證被竊、企業內網遭橫向移動，甚至成為供應鏈攻擊跳板。金融、科技製造與政府單位若員工私自部署，風險更高。

 

資安專家建議台灣企業與開發者立即採取以下措施：

 

OpenClaw的快速崛起與連串漏洞顯示：AI代理的病毒式成長，已遠超當前安全治理能力。企業若繼續「先用再說」，恐付出高昂代價。資安團隊應視此為警訊，立即盤點所有AI代理部署，將其納入零信任與供應鏈風險管理框架。

 

 

出處： 基於Dark Reading文章《Critical OpenClaw Vulnerability Exposes AI Agent Risks》，作者Jai Vijayan，發布日期2026年3月3日；並參考Oasis Security漏洞通報、Cequence Security資安長Randolph Barr、Sectigo資深研究員Jason Soroko評論，以及Koi Security與Trend Micro相關惡意技能研究。