發生了什麼事?

2026 年 4 月 7 日,360 數字安全集團宣布其 AI 漏洞挖掘智能體在 OpenClaw 平台中再次發現 3 個高價值安全漏洞 — 1 個高危、2 個中危。目前所有漏洞均已被 OpenClaw 官方修復並公開披露。

這不是 360 第一次在 OpenClaw 中發現問題。早在 3 月底,360 就曾揭露一個影響全球 17 萬實例的 MEDIA 協議高危漏洞,獲得中國國家資訊安全漏洞庫(CNNVD)確認。

值得關注的是:360 是用 AI 來找 AI 的漏洞 — 一個多智能體協同系統,結合攻擊面分析、AI 程式碼審計和動態滲透測試,自動化地挖掘安全問題。

三大漏洞直指 AI 核心機制

根據報導,此次新發現的三大漏洞直指 AI 智能體核心運行機制,直接影響使用者設備、資料與帳號的核心安全。

已知的關鍵 CVE

CVE 編號嚴重度類型影響版本修復版本
CVE-2026-344255.3(中危)Shell-bleed 防護繞過< 2026.4.22026.4.2
CVE-2026-344267.6(高危)授權繞過(環境變數正規化)< 2026.4.22026.4.2
CVE-2026-345038.1(高危)WebSocket Session 終止不完整< 2026.4.22026.4.2

注意: 上述為 NVD 評分。360 原始報告稱「1 高危 + 2 中危」,差異源於不同評分機構(CNNVD vs NVD)的判定標準。

高危:MEDIA 協議 Prompt 注入繞過

這是最危險的一個。OpenClaw 的 MEDIA 協議運行在輸出後處理層,位置在平台工具安全策略控制之後。這意味著:

即使管理員已明確停用所有工具調用,攻擊者仍可利用此漏洞,僅憑群聊基礎成員權限 — 無需任何特殊授權 — 直接竊取伺服器本地敏感檔案

技術特徵:

  • 攻擊門檻極低:只需群聊成員權限
  • 影響範圍極廣:全球 50+ 國家、17 萬+ 實例
  • 繞過所有防線:工具策略控制完全失效

中危:WebSocket 自連接 + Token 綁定缺失

WebSocket 協議的自連接機制加上 Token 缺乏綁定驗證,使得瀏覽器端可以劫持本地 OpenClaw 實例。已撤銷的 Token 可能持續有效,造成持久化未授權存取風險。

補充:SSH 命令注入(已知舊漏洞)

此外值得注意的是,OpenClaw 早在 2026 年 2 月就被揭露過一個 SSH 命令注入漏洞(CVE-2026-25157,CVSS 7.8 高危),已於 2026.1.29 版修復。該漏洞允許攻擊者透過以連字號開頭的主機名注入 SSH 選項(如 -oProxyCommand)來執行本地命令。雖然不屬於此次 360 新發現的三個漏洞,但同樣反映了 OpenClaw 在輸入驗證方面的系統性問題。

不只是漏洞:供應鏈已被污染

除了這三個新漏洞,OpenClaw 生態系統面臨的更大威脅來自供應鏈攻擊

安全研究人員對 ClawHub 市場(OpenClaw 的官方插件市場)進行掃描後發現:

  • 340+ 個惡意 Skills 插件(據報 3,016 個樣本中,感染率約 10.8%)
  • 7.1% 含有明文憑證洩露
  • 大量實例公網暴露,成為攻擊者的便利目標

攻擊鏈路清晰:Base64 編碼 → 解碼 → curl 下載 → 執行惡意程式 → 建立持久化後門

這就像是 npm 或 PyPI 的供應鏈投毒事件,只不過發生在 AI Agent 的世界裡。

AI Agent 的四層攻擊面

綜合 360 和綠盟科技(NSFOCUS)的分析,OpenClaw 架構存在四層攻擊面:

層級攻擊向量風險
入口層Prompt 注入(直接/間接)、API 閘道認證繞過遠端程式碼執行
決策層LLM 邏輯操控、記憶體投毒AI 決策被篡改
執行層工具權限提升、root 運行風險資料竊取、系統控制
生態層ClawHub 供應鏈投毒、未簽名插件大規模後門植入

企業自保指南

如果你正在生產環境中使用 OpenClaw(或任何 AI Agent 框架),以下是必須執行的安全措施:

立即行動

  1. 升級到 2026.4.2+ — 修補所有已知 CVE
  2. Docker 容器化部署 — 絕對不要在裸機上直接運行
  3. 非 root 使用者 — 限制容器權限,啟用 no-new-privileges
  4. 禁止公網暴露 — 使用反向代理 + IP 白名單
  5. 審查 ClawHub 插件 — 移除所有未經審計的第三方 Skills

長期防護

  • API 金鑰加密 — 使用 .env 管理,永不寫入程式碼
  • 網路隔離 — iptables 限制出站連線
  • 紅線規則 — 設定絕對禁止的操作清單
  • 自動化監控 — 定期掃描配置指紋,偵測異常變更

部署架構建議

1
2
3
4
5

[使用者] → [反向代理(TLS)] → [Docker 容器(非root)]
                              [最小權限工具]
                              [網路隔離]
                              [加密金鑰]

用 AI 找 AI 的漏洞

360 這次最值得關注的不只是漏洞本身,而是發現漏洞的方式

他們使用「多智能體協同漏洞挖掘系統」— 多個 AI Agent 分別負責攻擊面分析、程式碼審計、動態滲透測試,協同工作來自動化地發現安全問題。

這暗示了一個趨勢:AI Agent 的安全問題,最終也會由 AI Agent 來解決。攻防雙方都在用 AI,安全領域正式進入 Agent vs Agent 的時代。

結語

OpenClaw 的爆發式成長(全球 17 萬+ 實例)證明了 AI Agent 時代已經來臨。但速度帶來了風險 — 當一個有漏洞的版本在幾週內被數萬人部署,「同質化資產」就成了批量攻擊的理想目標。

對於正在建構 AI Agent 的團隊來說,安全不是事後的附加品,而是架構設計的第一優先。畢竟,你的 AI Agent 有多自主,被攻破時的損害就有多大。

資料來源:BlockBeats觀察者網數說安全綠盟科技CN-SEC