網路安全公司 CertiK 表示,OpenClaw 等 AI 助理的廣泛整合帶來了關鍵的安全風險,使用戶面臨未經授權的操作、資料洩露、系統遭入侵以及加密錢包被洗劫一空等問題。
OpenClaw 是一個自託管 AI 代理,可與 WhatsApp、Slack 和 Telegram 等訊息平台整合,並能自主在使用者電腦上執行操作,例如管理電子郵件、行事曆和檔案。
根據 Openclaw.vps 的數據,該平台估計約有 200 萬月活躍用戶。麥肯錫在 11 月份的一項研究顯示,62% 的受訪者表示他們的組織已在試驗 AI 代理。
然而,CertiK 警告稱,它已成為「大規模供應鏈攻擊的主要媒介」。
CertiK 指出,OpenClaw 起初是於 2025 年 11 月推出的一個名為 Clawdbot 的副專案,現已在開發者平台 GitHub 上累積超過 30 萬個星標(類似書籤或「喜歡」的功能),這預示著人氣飆升,但也在此過程中積累了嚴重的「安全債務」。
然而,在推出數週內,Bitsight 便發現了 3 萬個暴露於網際網路的 OpenClaw 實例,而 SecurityScorecard 研究人員則在 82 個國家發現了 13.5 萬個實例,其中 1.52 萬個特別容易受到遠端程式碼執行攻擊。
CertiK 研究人員在與 Cointelegraph 分享的一份報告中寫道,OpenClaw 也從安全角度成為最「受到嚴格審查的 AI 代理平台」,自 11 月推出以來,已累積超過 280 條 GitHub 安全建議、100 個通用漏洞揭露 (CVEs),以及「一系列生態系統層面的攻擊」。
研究人員表示,由於 OpenClaw 充當外部輸入和本地系統執行之間的橋樑,「它引入了典型的攻擊向量」。
這些攻擊向量包括本地閘道劫持,惡意網站或惡意負載可以利用代理在本地機器上的存在,提取敏感使用者資料或執行未經授權的指令。
相關閱讀:SlowMist 為自主 AI 代理推出 Web3 安全堆疊
CertiK 警告了外掛程式的危險性,外掛程式可以增加頻道、工具、HTTP 路由、服務和供應商,而惡意技能則可以從本地或市場來源安裝。
與傳統惡意軟體不同,「惡意技能」可以透過自然語言操控行為,抵禦傳統掃描。
「一旦啟動,惡意軟體就能竊取密碼和加密貨幣錢包憑證等敏感資訊。」
他們補充說,惡意後門也可能隱藏在合法的程式碼庫中,「它們擷取看似無害的網址,最終傳遞 shell 指令或惡意軟體負載」。
CertiK 研究人員告訴 Cointelegraph,攻擊者策略性地將惡意技能散佈到各個高價值類別,「包括用於 Phantom 的實用工具、錢包追蹤器、內部錢包查找器、Polymarket 工具和 Google Workspace 整合。」
他們表示:「他們在加密生態系統中撒下廣泛的網,主要負載旨在同時針對大量瀏覽器擴充錢包,例如 MetaMask、Phantom、Trust Wallet、Coinbase Wallet、OKX Wallet 等等。」
研究人員補充說,與更廣泛的加密盜竊生態系統存在「明顯的作案手法重疊,例如社交工程、虛假實用工具誘餌、憑證竊取、針對錢包的網路釣魚」。
「這些都是加密貨幣盜取者(drainer)的慣用伎倆,我們在此處也看到了它們的應用。」
OpenClaw 創辦人 Peter Steinberg 最近加入了 OpenAI,他表示他們正在努力改善 OpenClaw 的安全性。
Steinberg 週一在東京舉行的「ClawCon」活動上表示:「過去兩個月我們一直在努力解決安全問題。因此,這方面的狀況已大為改善。」
本月稍早,網路安全公司 OX Security 報告了一項網路釣魚活動,該活動利用虛假的 GitHub 貼文和假冒的「CLAW」代幣,誘騙 OpenClaw 開發者連結加密錢包。
CertiK 建議「不是安全專業人士、開發者或經驗豐富的極客」的普通用戶,不要從頭安裝和使用 OpenClaw,而是等待「更成熟、更穩固、更易於管理的版本」。
網路安全公司 SlowMist 於 3 月稍早推出了一項針對 AI 代理的安全框架,將其譽為「數位堡壘」,以抵禦自主系統處理鏈上操作和數位資產所帶來的風險。
雜誌:銀行希望經營越南的加密貨幣交易所,博雅互動 7000 萬美元的比特幣計畫:亞洲快訊