養AI龍蝦養出問題！OpenClaw爆重大漏洞 「駭客可取得管理員權限」快更新

「AI代理人（AI Agent）」讓軟體工具能夠自動替我們完成研究、購物與檔案管理等任務，紛紛在電腦裡面養「龍蝦」，不過近日爆紅的熱門工具OpenClaw，意外出現嚴重安全漏洞，被發現存在「管理員接管」漏洞，讓不少用戶懷疑，他們的數位助理是否已經在不知情的情況下「替別人工作」。

OpenClaw漏洞可以升級權限

據Android Headlines報導，在OpenClaw被發現有令人擔憂且嚴重的漏洞「CVE-2026-33579」，幾乎顛覆了整個平台的安全邏輯。AI應用開發平台Blink的研究人員指出，這個漏洞允許最低權限的使用者，可以「自行批准」升級為完整管理員權限。

換句話說，系統沒有驗證「授權者是否具備授權資格」，如同一名訪客可以走進受到管制的大樓之櫃台拿到一把萬能鑰匙，並自行簽署授權表格，隨後就能存取本地檔案、已登入的帳戶及Slack或Discord等平台上的敏感憑證。

竟無身分驗證機制 免帳號就能進入系統

最讓資安專家感到震驚的是問題的規模，Blink指出，大約63%的連網在OpenClaw完全沒有任何身分驗證機制，攻擊者甚至不需要帳號，就能直接透過網頁進入系統，並在幾秒內提升為管理員權限。

雖然開發團隊已於4月5日修補漏洞，但正式公開漏洞資訊卻是在2天後，這段48小時的時間差，讓主動攻擊者有機會在多數用戶尚未得知更新前就先行利用漏洞。

部分科技公司禁止使用

OpenClaw創辦人Peter Steinberger先前在GitHub上強調，「沒有任何系統是絕對安全的」。然而「AI代理人」的強大之處在於它能替用戶執行操作，這也讓這類漏洞比一般軟體的漏洞更為危險，目前有部分科技公司因該工具有不可預測的特性，因此已禁止在公司電腦上使用該工具。

OpenClaw用戶該怎麼做？

若用戶正把OpenClaw納入工作流程的使用者之一，資安專家建議「立即更新」，並檢查過去一周的活動紀錄，留意是否出現異常的「配對（Pairing）」請求。