loading...
俗稱「龍蝦」的人工智慧(AI)代理程式OpenClaw席捲全球,不過,近期卻被爆出存在嚴重的資安漏洞。最新研究顯示,超過2萬8千個獨立IP的OpenClaw系統,可以從網路上直接駭入、操控。
根據資安業者SecurityScorecard最新報告指出,數千個OpenClaw系統存在安全隱患,已淪為潛在的「特洛伊木馬」,可能成為駭客發動攻擊的跳板。
與傳統應用程式不同,AI代理程式通常需要獲得用戶作業系統和個人帳戶的高度授權,才能有效運作。根據SecurityScorecard研究發現,在4萬214個暴露於網路的OpenClaw系統中,有2萬8,663個控制台可被外部直接駭入,高達63%的系統存在漏洞,能直接透過遠端輸入程式碼接管電腦。
不僅如此,研究還發現,有三組被視為高度危險的漏洞已經被公開,這代表即便是非資安專業人士,也可能仿照相關手法攻破OpenClaw系統,門檻低得驚人。
安全專家表示,風險並非一定在於人工智慧「失控」,而是源於我們賦予它的身分與權限。一旦用戶允許AI代理連結電子郵件或銀行服務,駭客只需攻破該助理系統,即可獲得相同權限,進而以合法身分發送惡意訊息,甚至是轉移資金。
SecurityScorecard威脅情報副總裁特納(Jeremy Turner)表示,由於OpenClaw系統都是由AI撰寫而成,因此研發初期並未將安全性列為首要考量。他提醒使用者,要多加思考自己想整合哪些功能,以及實際賦予OpenClaw哪些權限。
特納認為,真正的問題不是AI的思考能力,而是使用者給予過高的權限,好比在街頭直接將筆電交給陌生人,又想祈禱不會發生任何壞事。
由於事態已變得嚴重,引發許多科技公司和國際機構的關注。微軟已發出正式建議,呼籲使用者不要在標準個人或企業裝置上執行OpenClaw。此外,由於資料外洩風險,一些地區已明令禁止在專業辦公環境中使用該系統。◇
