【大纪元2026年04月23日讯】(大纪元记者吴旻洲台湾台北报导)俗称“龙虾”的人工智慧(AI)代理程式OpenClaw席卷全球,不过,近期却被爆出存在严重的资安漏洞。最新研究显示,超过2万8千个独立IP的OpenClaw系统,可以从网路上直接骇入、操控。
根据资安业者SecurityScorecard最新报告指出,数千个OpenClaw系统存在安全隐患,已沦为潜在的“特洛伊木马”,可能成为骇客发动攻击的跳板。
与传统应用程式不同,AI代理程式通常需要获得用户作业系统和个人账户的高度授权,才能有效运作。根据SecurityScorecard研究发现,在4万214个暴露于网路的OpenClaw系统中,有2万8,663个控制台可被外部直接骇入,高达63%的系统存在漏洞,能直接透过远端输入程式码接管电脑。
不仅如此,研究还发现,有三组被视为高度危险的漏洞已经被公开,这代表即便是非资安专业人士,也可能仿照相关手法攻破OpenClaw系统,门槛低得惊人。
安全专家表示,风险并非一定在于人工智慧“失控”,而是源于我们赋予它的身份与权限。一旦用户允许AI代理连结电子邮件或银行服务,骇客只需攻破该助理系统,即可获得相同权限,进而以合法身份发送恶意讯息,甚至是转移资金。
SecurityScorecard威胁情报副总裁特纳(Jeremy Turner)表示,由于OpenClaw系统都是由AI撰写而成,因此研发初期并未将安全性列为首要考量。他提醒使用者,要多加思考自己想整合哪些功能,以及实际赋予OpenClaw哪些权限。
特纳认为,真正的问题不是AI的思考能力,而是使用者给予过高的权限,好比在街头直接将笔电交给陌生人,又想祈祷不会发生任何坏事。
由于事态已变得严重,引发许多科技公司和国际机构的关注。微软已发出正式建议,呼吁使用者不要在标准个人或企业装置上执行OpenClaw。此外,由于资料外泄风险,一些地区已明令禁止在专业办公环境中使用该系统。◇
责任编辑:郑桦
