養AI龍蝦養出問題！OpenClaw爆重大漏洞 「駭客可取得管理員權限」快更新

AI重點

• 重點一：OpenClaw出現嚴重的管理員接管漏洞，影響數千用戶。
• 重點二：63%的OpenClaw用戶無身分驗證，駭客可直接進入系統。
• 重點三：開發團隊已修補漏洞，但資訊公開延遲48小時。

「AI代理人 （AI Agent）」讓軟體工具能夠自動替我們完成研究、購物與檔案管理等任務，紛紛在電腦裡面養「龍蝦 」，不過近日爆紅的熱門工具OpenClaw ，意外出現嚴重安全漏洞 ，被發現存在「管理員接管」漏洞，讓不少用戶懷疑，他們的數位助理是否已經在不知情的情況下「替別人工作」。

OpenClaw漏洞可以升級權限

據報導，在OpenClaw被發現有令人擔憂且嚴重的漏洞「CVE-2026-33579 」，幾乎顛覆了整個平台的安全邏輯。AI應用開發平台Blink的研究人員指出，這個漏洞允許最低權限的使用者，可以「自行批准」升級為完整管理員權限 。

換句話說，系統沒有驗證「授權者是否具備授權資格」，如同一名訪客可以走進受到管制的大樓之櫃台拿到一把萬能鑰匙，並自行簽署授權表格，隨後就能存取本地檔案、已登入的帳戶及Slack或Discord等平台上的敏感憑證。

竟無身分驗證機制 免帳號就能進入系統

最讓資安專家感到震驚的是問題的規模，Blink指出，大約63%的連網在OpenClaw完全沒有任何身分驗證機制，攻擊者甚至不需要帳號，就能直接透過網頁進入系統，並在幾秒內提升為管理員權限。

雖然開發團隊已於4月5日修補漏洞，但正式公開漏洞資訊卻是在2天後，這段48小時的時間差，讓主動攻擊者有機會在多數用戶尚未得知更新前就先行利用漏洞。

部分科技公司禁止使用

OpenClaw創辦人Peter Steinberger先前在GitHub上強調，「沒有任何系統是絕對安全的」。然而「AI代理人」的強大之處在於它能替用戶執行操作，這也讓這類漏洞比一般軟體的漏洞更為危險，目前有部分科技公司因該工具有不可預測的特性，因此已禁止在公司電腦上使用該工具。

OpenClaw用戶該怎麼做？

若用戶正把OpenClaw納入工作流程的使用者之一，資安專家建議「立即更新」，並檢查過去一周的活動紀錄，留意是否出現異常的「配對（Pairing）」請求。

精華 FAQ

Q1：OpenClaw漏洞的主要問題是什麼？

OpenClaw的安全漏洞允許最低權限用戶自行升級為管理員，這意味著攻擊者可以不經驗證地直接獲取系統的控制權。

Q2：為什麼63%的OpenClaw部署會有問題？

這些部署完全沒有身分驗證機制，攻擊者可以不需要帳號進入系統，並在幾秒內升級至管理員權限，造成極大的安全隱患。

Q3：用戶應該如何應對OpenClaw的漏洞？

資安專家建議用戶立即更新OpenClaw，並檢查過去一周的活動紀錄，特別是留意異常的配對請求，以防止潛在的安全問題。

来源：聯合新聞網