OpenClaw現341個嚴重保安漏洞導致個人資料曝光

近日，OpenClaw 系統暴露出超過三百四十一個嚴重的安全漏洞，導致用戶的個人資料外洩。此問題主要源自於這款人工智能「管家」軟件，由於其具備存取電子郵件、日曆以及即時通訊應用等多種功能，不少使用者藉由 OpenClaw 進行日常文書處理或投資交易活動。然而，近期有資安公司揭露了該系統中的重大漏洞。

Koi Security 的研究員 Oren Yomtov 及其 AI 助手 Alex 主導此次調查。Alex 是專門負責威脅分析的 OpenClaw 機器人，為了提升功能，OpenClaw 推出了 ClawHub 插件市場，允許使用者安裝多種新技能以擴展其能力範圍。然而，研究發現 ClawHub 的技能數量異常增加，而該平台對於這些技能缺乏有效的審核機制，最終揭露出一系列組織嚴密的攻擊活動。

這些攻擊手法包括利用木馬程式散布惡意軟體。絕大多數已識別的惡意技能與一個名為 ClawHavoc 的行動有關，攻擊者成功註冊了多個看似合法工具的軟體包，如加密貨幣實用程式、YouTube 影片摘要器和下載器等，每個含惡意軟體的技能都設有先決條件，促使使用者下載受密碼保護的 ZIP 檔案或執行混淆的 shell 腳本。這些檔案最終會部署 Atomic macOS Stealer (AMOS 木馬程式)，進一步竊取用戶資料。

針對此情況，資安專家建議避免在未驗證的情況下執行技能的先決條件指令，並減少 OpenClaw 監控的權限和資料存取範圍。此外，限制使用信譽度較低的技能也能有效降低被攻擊的風險。此次揭露的安全漏洞再次提醒使用者，在享受人工智能帶來便利之餘，也需提高對網絡安全的警覺性。