2026 年開年,很多人見面的問候語已成為:「你裝龍蝦了嗎?」從 2025 年 11 月首次發布,OpenClaw 已成為現象級的 AI Agent,並迅速在 GitHub 上狂攬超過 24 萬收藏數,成為全球開發者甚至是生活中親朋好友們關注的焦點。藉著強大的自主規劃任務、執行 Shell 命令、讀寫檔案以及調用 API 的能力,OpenClaw 能有效提升個人開發者的工作效率。然而,這種革命性的自主能力也如同一把雙面刃,在賦予強大生產力的同時,也引發前所未有的安全疑慮。
AI Agent 的風險級別主要取決於其存取權限,以及被授權執行的自主動作。當 OpenClaw 在處理不可信的外部資料、連接公共網路或存取敏感資訊時,其資安風險會急劇上升。
從個人使用者的角度來看,OpenClaw 面臨的威脅主要集中在「惡意 Skill 投毒」與隱蔽的「提示詞注入攻擊」(prompt injection)。為了開發新功能,許多使用者會從 Skill 技能商店 ClawHub 社群下載並安裝「Skills」。據統計資料顯示,社群中的惡意 Skill 數量在短短幾週內便飆升至 800 多個,漲幅高達 142%。這些惡意外掛程式能夠竊取瀏覽器對話、密碼,甚至成為竊取加密貨幣錢包的新方式。
間接的「提示詞注入」則是一種極具隱蔽性的攻擊手段。攻擊者可將惡意指令隱藏在普通的網頁或文件中,當 OpenClaw 讀取這些內容時,便會被劫持執行非授權操作。曾有真實案例顯示,研究人員僅透過網頁和郵件中的隱藏提示詞,就能夠成功取得目標 OpenClaw 的完整控制權。目前,已有多家權威安全機構強烈建議使用者不要在具有敏感性資料的系統上直接執行 OpenClaw。
當 OpenClaw 的部署場景擴展到企業級應用時,企業用戶不僅要完全承受前述的惡意外掛程式投毒與提示詞注入威脅,還要承受許可權、設定與高風險漏洞帶來的系統性風險。首先是身份與許可權的濫用問題,尤其是「混淆代理」導致的Agent被動越權型風險。
例如在企業環境中,若作為數位員工的 AI Agent 被賦予全區知識庫的高級存取權限,低許可權或無許可權的其他人員便可能透過誘導 Agent 對話,違規取得原本無權查看的企業機密資料。其次,企業往往面臨更嚴峻的公開暴露與設定不當風險。資料顯示,目前有超過 22 萬個 OpenClaw 應用直接暴露在公共網路上。例如將服務綁定到非本地位址、以 root 許可權運作或密碼強度不足等嚴重設定失誤。
不僅如此,OpenClaw 在爆發式成長的同時,其程式碼品質與安全設計問題也逐漸浮現。截至 2026 年 3 月,OpenClaw 被記錄的 81 個 CVE 漏洞中有 62.9% 為嚴重或高風險漏洞。其中包含多項可直接導致繞過認證、讀取任意檔案以及遠端執行命令的巨大隱憂。當這些漏洞與企業應用的不安全設定互相加成時,攻擊者便可輕易繞過驗證,進而完全接管其基礎設施。
面對上述圍繞 OpenClaw 的安全威脅,Amazon Web Services(AWS)安全與合規的專家們在與客戶進行充分探討後,提供以下具體、可執行的建議:企業必須為 OpenClaw 這位超級「數位員工」量身訂製防禦體系。
首先,針對惡意 Skills 投毒,企業需要為 OpenClaw 設立「安檢閘門」。避免隨意安裝外掛,建立由企業管理的私有 Skills 倉庫並加強管制。所有 Skills 在進入這道「閘門」前,必須透過由 AI 驅動的安全分析工具進行掃描,以檢測是否存在惡意程式碼模式、可疑網路連結或嘗試竊取憑證,可疑 Skills 應在沙盒中進行觀察。
而面對提示詞注入攻擊,企業需要為資料處理流程戴上「防毒面具」,並設立「前端緩衝區」。「防毒面具」指的是在資料處理層面的多個檢查點進行內容過濾,以攔截隱藏在網頁或文件中的惡意指令。「前端緩衝區」則是指在架構層面實施多層 Agent 隔離,將負責核心任務排程的主 Agent 與處理不可信外部資料的子 Agent 分離,將「毒性」輸入攔截在緩衝區內,防止核心系統被注入劫持。
面對被動越權的身份與許可權管理挑戰時,企業應發放「動態安全通行證」。透過建立統一存取閘道,並將其作為 Agent 與企業服務交流的單一入口點,實現集中管理與上下文感知授權。結合身份傳播機制,該「安全通行證」能確保 Agent 在存取後端系統時,皆具備並驗證最終用戶的真實身份權限,有效防堵無許可權人員透過誘導 Agent 來竊取機密資料的混淆代理漏洞。
為了去除公開暴露與不安全設定帶來的隱患,企業需要為 OpenClaw 應用披上「隱身斗篷」。透過私有網路隔離和前端策略抵禦外部探測,使內部Agent應用在公開網路上徹底「隱形」。在內部管理上,則須落實最小許可權與非 root 運作,並建立持續的運作監控體系,以便快速發現未授權暴露或設定篡改,實現即時警告與自動執行隔離。
最後,針對底層高風險漏洞,企業需要打造「隔離艙」式的安全運作環境,並定期接種「數位疫苗」。「隔離艙」是指使用隔離的虛擬主機或容器進行部署,並利用沙盒技術將潛在漏洞影響限制在特定空間,防止基礎設施被接管。更根本的「數位疫苗」方案,則是建立定期的自動化漏洞掃描機制,確保系統及時更新至包含最新安全修補程式的 OpenClaw 版本,進而對新漏洞快速免疫。
除了自行打造上述安全實踐和解決方案,開發者和企業還可以採用現有的雲端服務和豐富的工具從容因應安全挑戰。對於個人開發者或希望快速驗證的羽量級用戶,AWS 已推出基於 Amazon Lightsail 的 OpenClaw 預設定執行個體,為個人數位助理提供開箱即用的安全雲端環境。
而針對企業級應用場景,Amazon Bedrock AgentCore 提供大規模安全部署 OpenClaw 所需的安全控制、治理能力和架構模式,同時透過 Amazon Virtual Private Cloud(Amazon VPC)、Amazon CloudFront 及 AWS WAF 等服務打造多層級的網路安全防護體系。在這個體系下,AWS Secrets Manager 負責敏感金鑰的動態更新,Amazon Bedrock Guardrails 則在語義層面即時過濾不法意圖,打造多面向的安全防護矩陣。這種穩健的架構,能在使用 OpenClaw 這樣的 AI Agent 時提供關鍵保障,在構築安全防線的同時,助力企業加速釋放AI潛能。
