loading...
近期廣受關注的人工智慧(AI)代理工具OpenClaw「養龍蝦」遭披露有重大資安漏洞,恐使攻擊者在無需授權情況下取得系統管理員權限,引發用戶資料安全疑慮,目前部分企業已開始限制相關工具在內部使用。
根據外國科技媒體Android Headlines報導,AI應用開發平台Blink研究人員指出,OpenClaw存在編號CVE-2026-33579的漏洞,影響權限控管機制。該漏洞能允許僅具最低權限的使用者,自行批准升級為完整管理員權限,等於繞過既有的授權流程。
研究人員說明,系統未有效驗證授權者資格,使權限審核機制形同虛設。一旦取得管理員權限,攻擊者即可存取用戶檔案、已登入帳戶,以及通訊平台等敏感憑證資料,擴大潛在風險範圍。
報導也引述調查顯示,在可對外連線的OpenClaw系統中,約有63%未設置任何身分驗證機制,代表攻擊者甚至不需要帳號,就能透過網頁進入系統,並快速取得高權限,讓資安風險進一步升高。
針對系統安全議題,OpenClaw創辦人Peter Steinberger先前曾表示,「沒有任何系統能保證絕對安全」。
報導指出,目前已有部分科技公司基於資安考量,禁止在公司設備中使用該工具,建議使用者應檢視近期系統活動紀錄,留意是否出現異常連線或未授權操作情形。◇
