攻擊利用 OpenClaw AI 代理程式漏洞

最近的安全研究表明，廣泛使用的自託管人工智慧代理平台 OpenClaw 可以透過看似無害的輸入被操縱，從而執行攻擊者控制的操作或洩露敏感資訊。

在兩項獨立的研究中，研究人員展示了兩種截然不同的攻擊方法。一種方法是將隱藏指令嵌入共享聯絡人、vCard 和位置資訊中。另一種方法是使用精心設計的釣魚郵件，誘使人工智慧代理洩露敏感的商業資訊。

雖然 OpenClaw 在 2026.4.23 版本中解決了其中一個漏洞，但更廣泛的問題仍然存在：信任傳入資訊的 AI 代理可能成為攻擊者的強大工具。

隱藏在眼皮底下的隱形指令

第一次攻擊的目標是 OpenClaw 在將某些訊息物件傳送到底層大型語言模型 (LLM) 之前如何處理這些訊息物件。

與網頁內容在到達模型之前會被明確標記為不可信不同，聯絡人記錄、vCard 和位置標籤會被直接插入到提示訊息中，而沒有任何跡象表明它們來自不可信來源。這為提示訊息注入提供了可乘之機。

此攻擊利用了 OpenClaw 序列化聯絡人資訊的方式。共享聯絡人被轉換為僅包含姓名和電話號碼的簡單格式。由於聯絡人姓名中允許使用尖括號等字符，攻擊者可以將惡意指令嵌入其中，使其看起來像是聯絡人資訊的一部分。此外，即時通訊應用程式中通常會截斷聯絡人姓名，導致受害者無法看到隱藏的有效載荷。

同樣的技巧也適用於 vCard 全名字段和共享位置標籤。在使用 Gemini 3.1 Pro 預覽版進行測試時，隱藏的指令成功誘使代理程式從研究人員控制的伺服器下載並執行程式碼。有趣的是，嘗試將指令隱藏在圖像中的操作失敗了，這可能是因為現代 AI 模型已經針對基於圖像的提示注入攻擊進行了大量的訓練。然而，訊息物件攻擊對於目前的模型來說仍然比較陌生。

研究人員警告稱，OpenClaw 的預設記憶體功能可能會加劇這種威脅。如果缺乏適當的沙箱控制措施，惡意聯絡人或廣泛傳播的共享物件就可能危及眾多代理商的安全。

在負責任地揭露資訊後，OpenClaw 發布了 2026.4.23 版本，該版本將聯絡人姓名、vCard 欄位和位置標籤與提示內容分離，並將它們放入一個專用的非信任元資料通道中。研究人員也指出，類似的設計模式也出現在其他個人 AI 助理中，這顯示這是一個產業普遍面臨的挑戰，而非平台特有的問題。

代理商網路釣魚的興起

第二個研究計畫從不同的角度切入這個問題：社會工程。

研究人員建立了一個名為 Pinchy 的測試代理，並將其連接到 Gmail 收件匣，該收件匣中包含逼真但合成的商業通訊和模擬敏感資料。隨後，研究團隊分別使用 Google Gemini 3.1 Pro 和 OpenAI Codex GPT-5.4 進行了四次網路釣魚模擬。

該研究區分了傳統的提示注入攻擊和研究人員所稱的「代理網路釣魚」。提示注入攻擊將惡意指令隱藏在資料中，而代理網路釣魚攻擊則依賴透過合法通訊管道發送的看似可信的請求。這種攻擊之所以能夠成功，是因為代理人在充分驗證發送者身分之前就採取了行動。

社會工程學如何破解安全控制

網路釣魚模擬測試結果令人擔憂。儘管嚴格按照指示驗證寄件者身份，但該代理在兩種資料竊取場景中均告失敗：

一封冒充團隊負責人的詐騙電子郵件請求在一次捏造的生產環境事故期間獲得測試環境存取權限。該代理人找到了偽造的 AWS IAM 憑證、資料庫連接字串和 SSH 憑證，並以明文形式轉發給了使用者。

第二封郵件要求按慣例每週匯出客戶數據，用於所謂的季度業務回顧演示。代理商發送了一個包含247家企業客戶資訊的合成資料庫，其中包括聯絡人和合約金額。

該代理在應對技術攻擊時表現顯著提升。它能夠識別可疑的釣魚網站，避免洩露合法憑證，並最終標記惡意活動。在更嚴格的設定下，對釣魚頁面的訪問被完全阻止。當遇到偽裝成工時表應用程式的詐騙 OAuth 授權頁面時，該代理程式會分析重定向目標，判斷其可疑，並拒絕授予權限。

研究人員得出結論，該智能體在識別惡意網址和虛假登入入口網站方面通常優於人類。然而，它在處理情境社交判斷方面表現不佳，尤其是在請求看似來自值得信賴的同事時。人工智慧助理之所以有用，正是因為它們渴望提供幫助，但這同時也造成了巨大的攻擊面。

儘管 OpenAI Codex GPT-5.4 在與外部網站互動或傳輸訊息時比 Gemini 3.1 Pro 表現出更高的謹慎性，但這兩個系統最終都成為了社會工程攻擊的受害者。

一個根本原因，多種攻擊路徑

儘管使用了不同的技術，但兩次攻擊都利用了相同的基本功能：

• 獲取私人資訊。

當這些功能在缺乏足夠控制的情況下共存時，惡意聯絡卡和具有欺騙性的釣魚郵件可能會產生相同的結果：未經授權存取敏感資料。

進一步的研究發現，OpenClaw 生態系中也存在類似的信任邊界問題。研究人員將先前的安全公告轉化為靜態分析規則，從而發現了另外五個影響與 Slack、Discord、Matrix、Zalo 和 Microsoft Teams 整合的漏洞。

每個漏洞都源自於同一設計缺陷。通道擴充在評估允許清單時依賴可變的顯示名稱，而非永久識別碼。因此，攻擊者可以重新命名帳戶以匹配已批准的用戶，從而控制代理。 OpenClaw 已修復所有已發現的問題。

人們對代理權限過寬的擔憂日益加劇

自推出以來，OpenClaw 就因其廣泛的權限而備受關注。該平台提供對本機檔案、shell 環境以及二十多個即時通訊平台的存取權限，使其功能強大，但也極易受到攻擊。

鑑於相關擔憂已十分嚴重，荷蘭資料保護局（Autoriteit Persoonsgegevens）建議個人和組織不要在包含敏感資訊的系統上部署 OpenClaw。該機構指出，OpenClaw 存在資料外洩和帳戶被盜用等風險。

建置更安全的AI代理部署

使用 OpenClaw 的組織應立即升級至 2026.4.23 或更高版本，以解決訊息物件漏洞。然而，除了打補丁之外，長期防護取決於架構控制，而非及時的工程改進。

安全專家建議將代理指令檔視為可強制執行的、版本控制的策略，而非僅作為指導性建議。對外通信應在發送給陌生收件人之前獲得批准，從而降低受感染代理透過受信任帳戶傳播攻擊的可能性。存取權限也應與觸發來源的可信度掛鉤，確保處理外部通訊的代理無法自動存取客戶關係管理平台等高價值系統。包括憑證共享和金融交易在內的高風險操作仍應由手動批准。

自主信任的未解挑戰

兩個研究團隊最終得出了相同的結論：人工智慧代理不應被視為安全工具。更準確的模型是將其視為擁有廣泛系統存取權限但識別可疑行為能力有限的初級員工。另一個有用的視角是將其視為經過身份驗證的執行者，它們天生信任所接收到的資訊。

目前的緩解措施主要集中在補丁、防護措施和存取控制。然而，更廣泛的挑戰仍然沒有得到解決。一個能夠讀取電子郵件、執行任務並獨立行動的人工智慧代理，從設計上講，必須信任用戶輸入並嘗試幫助用戶。網路安全界尚未找到解決這個根本矛盾的通用方案。