資訊悅報 Vol.41｜CyberArk: OpenClaw 警報：自主 AI 代理正悄悄改寫企業端點風險

部落格來源網址：How autonomous AI agents like OpenClaw are reshaping enterprise identity security｜像 OpenClaw 這樣的自主 AI 代理如何重塑企業身分識別安全

OpenClaw 警報：自主 AI 代理正悄悄改寫企業端點風險

OpenClaw（前身為 Clawdbot 和 Moltbot）的爆紅風潮已席捲科技界，不僅在 GitHub 上累積超過 16 萬顆星，更引發了一股搶購 Mac Mini 的熱潮，用以託管這些全天候運作的助理。被譽為「擁有雙手的 Claude」的 OpenClaw 標誌著一場重大轉變：人工智慧正從一位樂於助人且據稱服從的助手，蛻變為一位全能的自主代理，能夠管理電子郵件、執行終端機指令，並與 WhatsApp、Slack 和 GitHub 等應用程式互動。
這些難以預測且享有特權的實體，能夠代表其人類創建者運作，並掌握通往其數位數據王國的鑰匙，因而構成重大風險。

對使用者而言，OpenClaw 是一項強大的生產力工具。對企業資訊安全長（CISO）來說，這是一場針對新型身分安全攻擊面的實戰演習。它象徵著身分安全的噩夢。當傳統邊界逐漸消融，自主實體雖以使用者級權限運作，卻缺乏人類級的可預測性。這正體現了 AI 代理風險的致命三重威脅。此概念由資安研究員西蒙·威利森提出，包含存取私人資料、接觸不可信內容，以及代表使用者採取行動的權限。

試想一位開發人員從企業電腦存取其 OpenClaw 環境，或將其部署於企業網路內以整合 Slack、Teams 或 Salesforce。這些操作會形成一個高風險的入口，使得自主代理程式在傳統身分與存取管理 (IAM) 控制措施的監管範圍外運作。若缺乏存取限制與嚴格的身分管理，單一邏輯疏失或漏洞利用便可能引發大規模的身分洩漏與災難性資料外洩，最終透過未經審查的流程，將數位王國的鑰匙交到惡意攻擊者手中。

OpenClaw 的威脅：給企業的一記警鐘

儘管 OpenClaw 承諾以本地優先的隱私保護為核心，但其迅速普及卻暴露了若干關鍵的安全漏洞，這些漏洞正威脅著其自主生態系統的完整性。

DepthFirst 的資安研究員 Mav Levin 發現了「一鍵遠端執行」（CVE-2026-25253）漏洞，此漏洞中，惡意連結會觸發 WebSocket 連線程序，導致憑證外洩並執行任意 shell 指令。

由 Gal Nagli 領導的 Wiz 團隊在 Moltbook 社交網路中發現了一個設定錯誤的資料庫，導致 150 萬個 API 金鑰、3.5 萬個用戶電子郵件地址以及私人訊息外洩。Nagli 的研究還揭露，這 150 萬個機器人僅由 17,000 個帳戶所控制。

Koi Security 對 ClawHub 市集上的 2,857 項技能進行審計後，發現了 341 項惡意條目。其中包括 335 項來自 ClawHavoc 行動的技能，這些技能旨在部署資訊竊取程式，例如 Atomic Stealer。

Permiso 的資安研究人員發現了一種提示注入攻擊，該攻擊利用 Moltbook 上的惡意貼文及 ClawHub 上未經審核的技能，誘導代理程式篡改自身的內部記憶體檔案，並試圖進行未經授權的加密貨幣交易。

這些問題很可能只是冰山一角，且對身分安全具有令人擔憂的潛在影響，因為 OpenClaw 代理程式是基於授權進行運作的。
這意味著，只要單一項技能遭到入侵或被植入提示語，駭客便能劫持用戶的整個數位身分，藉此簽署法律文件、存取銀行帳戶，或在網路上冒充該用戶。

這些事件共同凸顯了一項更廣泛的身分安全挑戰，即當自主代理具備相當大的權限時，此類挑戰便會浮現。組織必須意識到，這些風險能在環境中以多快的速度蔓延。
這些風險可透過三個關鍵壓力點來理解，這些壓力點形塑了企業環境中自主代理的身份安全攻擊面。

繪製自主代理的身份安全攻擊面

隨著這些 AI 代理逐漸滲入企業環境——通常是以員工部署的「影子 AI」形式出現——它們帶來了三項明確的壓力點：

1. 終端權限與「神模式」的謬誤
OpenClaw 通常需要高階權限才能發揮作用。在企業環境中，開發者筆電上的代理程式可能繼承讀取 SSH（安全殼層）金鑰或以機器速度修改原始碼的能力。

2. 洩露的機密與代幣金礦
代理程式對憑證需求殷切，常將敏感的 API 金鑰儲存於 .env 檔案或本機目錄中。OpenClaw 更因將 MEMORY.md 和 SOUL.md 以明文形式儲存，而面臨認知情境竊取的風險。

3. 存取權限、授權及會話期間的行為
傳統的 IAM 是為人類設計的，但 AI 代理程式具有非確定性。代理程式雖繼承了使用者的授權，但可能會執行使用者從未預期的操作。

具代理能力的 AI 安全：最佳實踐與緩解措施

OpenClaw 是「代理化未來」的先驅。雖然目前仍處於病毒式實驗階段，但它極有可能為自主機器人提供藍圖，而這些機器人終將成為企業營運的基石。

儘管這些工具尚未準備好投入生產環境，但開發人員向來是具備強烈探索精神的早期採用者，因此很可能現在就會在本地部署這些工具，以實現複雜工作流程的自動化。
若未採取適當的緩解措施，這些「隱蔽」部署將使代理程式得以使用高階權限運作，並在資安團隊建立監管機制之前，便已取得 SSH 金鑰及內部程式碼庫的存取權限。

此外，即使代理程式並非部署在本地，從企業內部存取外部部署的使用者介面，仍會為將敏感機密資訊和憑證外洩至未經授權的第三方環境開闢一條直接途徑。

為有效應對這些風險，組織可針對上述三個領域——端點權限、敏感資訊外洩以及存取行為來建構其防禦體系。以下建議正是針對這三個領域提出的。

終端權限：「神模式」的謬誤

為防範權限提升，組織可採用以下控制措施：

沙箱隔離
在經過強化且唯讀的容器（例如 Docker 或專用虛擬機器）中執行 OpenClaw 等代理程式，以防止它們存取主機的根檔案系統或 SSH 金鑰。
命令與檔案系統白名單
設定代理程式可互動的授權終端機命令及目錄路徑之明確清單，而非授予無限制的存取權限。
手術級終止開關
維持技術能力，可在不干擾一般使用者會話的情況下，立即暫停代理程式在當地的身分識別，並終止其正在執行的程序。

揭露的秘密：代幣金礦

為降低因機密資訊過度擴散所帶來的風險，團隊應採取以下措施：

密鑰輪替與注入
為代理程式使用的所有密鑰實作自動輪替機制。與其將憑證儲存在純文字檔案（例如 .env）中，不如在執行時將其注入代理程式的執行環境中。
範圍限定與短效憑證
逐步淘汰「全權存取」憑證。改用會自動過期的短期、任務專用憑證，藉此限制攻擊者可能入侵代理程式記憶體時可利用的時機窗口。
代理強化
設定主機端代理伺服器，強制執行網路層級的出站允許清單。此舉可確保即使代理程式遭誘騙而竊取機密資訊，亦無法將其外洩至未經授權的外部網域。

存取：權限與會話期間的行為

要確保自主系統的安全存取，必須做到：

零常駐權限 (ZSP)
採用即時 (JIT) 存取模型，僅在任務執行的特定期間內授予代理權限，確保其無法永久存取敏感的資料庫或應用程式。
經過驗證的授權
應摒棄冒充機制。改採 OAuth 風格的授權機制，將每個代理的動作追溯至實際操作者，並針對高風險或具破壞性的動作，要求進行帶外 (OOB) 驗證（例如推送通知）。
會話監控與偵測
持續追蹤所有「影子 AI」代理程式。利用即時可觀測性，將非確定性的代理程式行為與人類使用者的身分建立關聯，以確保明確的稽核追蹤能力與風險評分。
最小權限原則
透過為資料分析任務定義「唯讀」角色來限制代理程式的功能範圍，並嚴格要求在代理程式修改系統檔案或執行金融交易前，必須獲得人工介入（HITL）的批准。

這些問題清楚地表明，OpenClaw 預先揭示了隨著自主代理在企業環境中日益普及，將隨之浮現的以身分為核心的風險。

OpenClaw 向企業傳達的訊息：人工智慧代理的安全防護必須立即著手

OpenClaw 的工具本身雖非企業級，但仍為理解自主代理程式如何影響企業安全提供了有用的藍圖。OpenClaw 和 MoltBook 未受管控的擴散，顯示了當代理程式在擁有廣泛權限且行為難以預測的情況下運作時，以身分識別為核心的風險會以多快的速度產生。
為了確保這道防線的安全，企業必須主動降低代理程式獲得過多本地權限的風險，以免其突破預設的沙箱環境，進而竊取 SSH 金鑰、修改系統檔案或存取敏感資料。

透過實施現代化身分識別安全控制措施（例如零預設權限）、運用機密管理來消除明文機密，以及要求高風險操作須經人工介入批准，資訊安全長（CISO）便能強化 AI 代理活動的安全性與可稽核性，即使其系統正從簡單的助理演變為未來完全自主的數位工作者亦然。

Lavi Lazarovitz 是 CyberArk Labs 的網路安全研究副總裁，Mark Cherp 則是該公司的安全研究總監。

進一步了解 OpenClaw 的風險與漏洞

若想進一步了解 OpenClaw 和 Moltbook 所涉及的身分識別相關風險，請觀看下方由 CyberArk Labs 資深攻擊策略推廣專家 Andy Thompson 所製作的影片。

How autonomous AI agents like OpenClaw are reshaping enterprise identity security