OpenClaw 等自主人工智慧代理如何重塑企業身分安全

2026 February 09

 

OpenClaw (前身為 Clawdbot 和 Moltbot)的病毒式傳播激發了科技界的無限遐想,在 GitHub 上獲得了超過 16 萬顆星,並引發了 Mac Mini 硬體搶購熱潮,以滿足這些全天候助手的需求。 OpenClaw 被戲稱為“長著手的克勞德”,它代表著一次重大轉變:人工智能正從一個樂於助人且據稱服從命令的助手,轉變為一個功能強大的自主代理,能夠管理電子郵件、執行終端命令,並與 WhatsApp、Slack 和 GitHub 等應用程序進行交互。這些不可預測且擁有特權的實體,能夠代表其人類創造者行事,並存取其數位資料王國的鑰匙,這構成了巨大的風險。

對使用者而言,OpenClaw 是一款強大的生產力工具。但對企業首席資安長 (CISO) 來說,它卻是一場在全新身分安全攻擊面中實戰演練。它展現了身分安全的惡夢:傳統邊界瓦解,自主實體擁有使用者層級的權限,卻缺乏人類層級的可預測性。這凸顯了人工智慧代理風險的三大致命要素——安全研究員Simon Willison提出的「人工智慧代理風險」概念,即存取私有資料、接觸不受信任的內容以及代表使用者行事的權限。

想像一下,開發人員從企業級機器存取其 OpenClaw 環境,或將其部署到企業網路內以與 Slack、Teams 或 Salesforce 整合。這些操作會創建一個高風險的入口,使自主代理能夠在傳統身分和存取管理 (IAM)控制之外運作。如果沒有存取限制和嚴格的身份管理,一個邏輯漏洞或攻擊就可能引發大規模身份洩露和災難性的資料洩露,最終透過未經審查的流程將數位王國的控制權拱手讓給惡意攻擊者。

OpenClaw 的危險:為企業敲響的警鐘

雖然 OpenClaw 承諾以本地優先的隱私保護為目標,但其快速普及也暴露出嚴重的安全漏洞,威脅到其自主生態系統的完整性。

DepthFirst 的安全研究員 Mav Levin 發現了1 Click RCE (CVE-2026-25253)漏洞,該漏洞利用惡意連結觸發 WebSocket 握手來洩漏令牌並執行任意 shell 命令。

由Gal Nagli領導的Wiz團隊發現Moltbook社群網路中一個設定錯誤的資料庫,導致150萬個API金鑰、3.5萬個使用者信箱位址和私人資訊外洩。 Nagli的研究也顯示,僅有1.7萬個身分控制著這150萬個機器人帳號。

Koi Security 對 ClawHub 市場上的 2,857 項技能進行了審計,發現了 341 項惡意條目。其中包括來自 ClawHavoc 活動的 335 項技能,這些技能旨在部署諸如Atomic Stealer之類的資訊竊取程式。

Permiso的安全研究人員發現了提示注入攻擊,該攻擊操縱代理程式污染自己的內部儲存文件,並透過 Moltbook 上的惡意貼文和 ClawHub 上未經審查的技能嘗試未經授權的加密貨幣交易。

這些問題可能只是冰山一角,而且由於 OpenClaw 代理以委託權限運行,因此對身分安全有著令人擔憂的潛在影響。這意味著,即使只有一個技能被攻破或註入了惡意程式碼,也可能劫持用戶的整個數位身份,用於簽署法律文件、存取銀行帳戶或在網路上冒充用戶。

這些事件共同凸顯了自主代理人擁有重大權限時所面臨的更廣泛的身份安全挑戰。企業需要認識到這些風險在環境中蔓延的速度之快。我們可以透過三個關鍵壓力點來理解這些風險,這三個壓力點構成了企業環境中自主代理的身份安全攻擊面。

摘錄如下:“這些問題可能只是冰山一角,並且對身份安全有著可怕的影響,因為 OpenClaw 代理以委託權限運行。”

繪製自主代理的身份安全攻擊面圖

隨著這些人工智慧代理逐漸進入企業環境,通常以「影子人工智慧」的形式由員工部署,它們會造成三個明顯的壓力點:

1. 端點權限與「上帝模式」謬誤: OpenClaw 通常需要進階權限才能發揮作用。在企業環境中,開發人員筆記型電腦上的代理程式可能會獲得讀取SSH(安全外殼)金鑰或以機器速度修改原始碼的能力。

2. 洩漏的秘密和代幣金礦:代理程式渴望獲取憑證,通常會將敏感的 API 金鑰儲存在 .env 檔案或本機目錄中。 OpenClaw 也以明文形式儲存 MEMORY.md 和 SOUL.md 文件,進一步增加了認知情境竊取的風險。

3. 存取權限和會話內行為:傳統的身份和存取管理 (IAM) 系統是為人類設計的,但人工智慧代理是不確定的。代理會繼承使用者的權限,但可能會執行使用者從未打算執行的操作。

智能體人工智慧安全:最佳實踐和緩解措施

OpenClaw 是智能體未來的先驅。雖然目前仍處於病毒式傳播的實驗階段,但它很可能為最終成為企業營運基礎的自主機器人提供藍圖。

儘管這些工具尚未達到生產就緒狀態,但開發人員(他們歷來都是積極探索的早期使用者)很可能會立即在本地部署這些工具,以實現複雜工作流程的自動化。如果沒有適當的緩解措施,這些「影子」部署將允許代理程式以高權限運行,在安全團隊建立監管之前,即可獲得對 SSH 金鑰和內部程式碼庫的存取權。

此外,即使代理程式沒有託管在本地,從企業內部存取外部部署 UI 也會為將敏感金鑰和令牌洩漏到未經授權的第三方環境開闢一條直接途徑。

為了有效應對這些風險,組織可以圍繞上述三個面向建立防禦體系:終端權限、敏感資訊外洩和存取行為。以下建議與這三個面向相符。

端點權限:「上帝模式」謬誤

為了防範權限提升攻擊,組織可以使用以下控制措施:

  • 沙箱隔離:在加固的唯讀容器(例如 Docker 或專用虛擬機器)中執行 OpenClaw 等代理,以防止它們存取主機的根檔案系統或 SSH 金鑰。
  • 命令和檔案系統允許列表:配置代理可以互動的授權終端命令和目錄路徑的明確列表,而不是授予開放式存取權限。
  • 外科手術式終止開關:保持立即暫停代理的本地身份並終止其活動進程的技術能力,而不會中斷更廣泛的人類用戶會話。

曝光的秘密:代幣金礦

為了降低因秘密洩漏而導致的風險,團隊應採取以下措施:

  • 密鑰輪換和注入:對代理程式使用的所有密鑰實現自動輪換。不要將憑證儲存在明文檔案(例如 .env 檔案)中,而是在執行時將其註入到代理的環境中。
  • 範圍限定和臨時令牌:逐步淘汰「完全存取」令牌。使用有效期短、特定於任務的憑證,這些憑證會自動過期,從而限制攻擊者入侵代理程式記憶體的機會視窗。
  • 代理加固:配置主機端代理以強制執行網路級出口流量允許清單。這可以確保即使代理程式被誘騙竊取金鑰,也無法將其洩漏到未經授權的外部網域。

存取權限:權限和會話內行為

確保自主系統安全存取需要:

  • 零永久權限 (ZSP):採用即時 (JIT) 存取模型,僅在特定任務期間授予代理權限,確保他們不會永久存取敏感資料庫或應用程式。
  • 經過身分驗證的委託:摒棄冒充行為。使用 OAuth 式委託,將每個代理的操作追溯到人類創建者,對於高風險或破壞性操作,需要帶外 (OOB) 身份驗證(例如推播通知)。
  • 會話監控與發現:持續維護所有「影子AI」代理的清單。利用即時可觀測性將非確定性代理行為與人類使用者的身份關聯起來,以實現清晰的審計和風險評分。
  • 最小權限原則:透過為資料分析任務定義「唯讀」角色來限制代理的功能範圍,並嚴格要求在代理修改系統檔案或執行金融交易之前必須獲得人機互動(HITL)批准。

這些問題清楚地表明,OpenClaw 可以提前看到隨著自主代理在企業環境中變得越來越普遍而出現的身份相關風險。

OpenClaw向企業發出訊號:人工智慧代理安全必須立即著手。

OpenClaw 的工具本身並非企業級,但它仍然為理解自主代理如何影響企業安全提供了一個有用的藍圖。 OpenClaw 和 MoltBook 的無序擴散表明,當代理人擁有廣泛的權限和不可預測的行為時,以身分為中心的風險會迅速滋生。為了保護這一安全領域,企業必須主動降低代理繼承過多本地權限的風險,因為這些權限可能使代理程式竊取 SSH 金鑰、修改系統檔案或透過跳出預設的沙箱存取敏感資料。

透過實施現代身分安全控制措施,例如零權限、使用金鑰管理消除明文金鑰以及要求對高風險操作進行人工審批,首席資訊安全官 (CISO) 可以加強 AI 代理活動的安全性和可審計性,即使他們的系統從簡單的助手演變為未來完全自主的數位員工。

Lavi Lazarovitz 是 Cyber​​Ark Labs 的網路研究副總裁,Mark Cherp 是該公司的安全研究主管。

了解更多關於 OpenClaw 的風險與漏洞

 

要了解有關 OpenClaw 和 Moltbook 的身份相關風險的更多信息,請觀看 Cyber​​Ark Labs 高級攻擊佈道師 Andy Thompson 的以下視頻。

OpenClaw 等自主人工智慧代理如何重塑企業身分安全

文章來源/Cyber​​Ark Blog Cyber​​Ark Blog

返回