OpenClaw 爆紅暗藏危機,假連結與高危漏洞雙重夾擊
講到近期最受開發者同技術社群矚目嘅開源 AI 代理平台,一定非 OpenClaw 莫屬。根據官方說明文件,佢採用可自行架設嘅設計,可以作為多頻道閘道串接 WhatsApp、Telegram、Discord 同 iMessage 等即時通訊平台,等用家可以直接喺熟悉嘅聊天介面同 AI 互動。佢唔單止係對話工具,仲具備持續性記憶、控制瀏覽器、存取系統,甚至可以透過「技能」腳本擴充多媒體處理同檔案讀寫等多項強大能力。不過樹大招風,據報導指已經有黑客利用偽造嘅 GitHub 程式碼庫同 Bing AI 搜尋結果,向搜尋 OpenClaw Windows 安裝程式嘅用家散播能夠竊取資訊嘅惡意軟體。更得人驚嘅係,報告指出 OpenClaw 曾經存在高風險漏洞,惡意網站可以借機挾持開發者嘅代理程式,雖然個漏洞啱啱喺 2026 年 2 月 26 日已經獲修復,但已經為大家敲響咗強烈嘅安全警鐘。
擴充技能變黑客後門?HKCERT 教路防範措施
除咗平台本身嘅漏洞,OpenClaw 嘅技能生態系亦都成為咗新嘅攻擊缺口。官方設有開源技能註冊庫 ClawHub 允許使用者發布同安裝擴充功能,但呢種開放模式同時引入咗第三方元件嘅供應鏈風險。為此,HKCERT 強烈建議大家一定要優先透過官方網站同官方儲存庫下載安裝程式,避開偽造連結,並且盡快將 OpenClaw 更新至最新版本以修補高危漏洞。另外,就算平台內建咗 VirusTotal 掃描,大家裝第三方「技能」腳本嗰陣都唔好輕易因為下載量高就盲目信任。萬一 AI 代理突然要求你執行高風險操作,例如輸入系統密碼、貼上終端機指令、安裝驅動或者關閉安全防護,就務必要先驗證清楚真實性先好跟住做。最後,機構如果評估引入呢套系統,必須將佢視為可操作本機資源嘅高權限自動化平台嚟嚴格管理。如果企業或者公眾遇到資訊保安事故,可以隨時上網填表(https://www.hkcert.org/zh/incident-reporting)或者打 24 小時熱線 8105 6060 搵 HKCERT 尋求支援。