「AI小龍蝦」OpenClaw爆紅！專家警告：權限全開恐成企業內網的數位木馬

「你能做的事情，它都能做，」游文賢說，但它更強大的地方在於，具備全天候編寫程式的能力，且 24 小時不間斷運作。一旦接收到惡意指令要刪除你的郵件或竊取資料，其執行速度之快，人類管理員根本攔不住。

近期在 AI 圈掀起熱議、被暱稱為「AI 小龍蝦」的 OpenClaw（或稱 Moltbot / Clawdbot），憑藉其可自動化作業的能力，吸引大量開發者研究使用。市場上更不乏對其能力的過度渲染，稱其為能接管電腦操作、主動執行各式任務。然而，這股熱潮背後卻潛藏致命的資安隱憂；資安專家嚴正警告，若使用者缺乏防護意識，OpenClaw極可能成為引狼入室的數位木馬。

權限開最大，等於將系統暴露於網路

中華亞太智慧物聯發展協會理事長、資拓宏宇 AI 顧問游文賢指出，OpenClaw 這類工具在底層設計上存在嚴重的資安缺陷。由於大部份類似軟體並不是基於複雜的高階技術開發而成，只是將權限開到最大，而大多數使用者並不具備嚴謹的資安防護概念，等於將系統直接暴露於公開網路環境，形同門戶大開，為駭客創造出更多植入惡意攻擊代碼的機會，將便利的工具轉化為滲透內網的跳板。

他進一步分析，該工具主要是基於 MCP（Model Context Protocol）架構。雖強化了 AI 與本地工具的串接效率，但在設計上卻偏向權限全開且採用「明碼傳輸」，幾乎未考慮資訊安全隔離。駭客僅需透過簡單的掃描工具發現開放 IP，便能利用該工具擁有的極高系統權限，在用戶毫無察覺的情況下植入攻擊代碼或執行惡意指令。

它不僅能獨立讀取資訊、連網執行任務，更致命的威脅在於其「腳本化攻擊」特性。游文賢指出，傳統防火牆（Firewall）多半針對二進位執行檔（Executable files）進行攔截，但 OpenClaw 下載的往往是看似無害的「純文字腳本」（Script），加上OpenClaw自主編寫程式的能力，無需從外部下載現成的惡意工具，只要將攻擊腳本抓回本地端，就能直接生成並執行指令。由於這些腳本在本質上僅是文字檔，現有的防火牆監測機制極難偵測其惡意意圖。

傳統防禦瓦解，OpenClaw成資安破口

為何即便在內網環境，OpenClaw 只要具備郵件讀取權限，依然能成為破口？

游文賢解釋，由於該工具擁有讀取瀏覽器與電子郵件的功能，這使得傳統的「社交工程防範」面臨瓦解。駭客只需在網頁或郵件中隱藏 AI 能讀取、但人眼看不見的惡意程式碼，AI 就可能在解析資訊的過程中「聽令」執行任務，進而導致公司內網失守。

OpenClaw 與傳統資安防禦最大的差異在於，過去的防護重點是阻擋特定的執行檔，但 OpenClaw 的權限是直接繼承自「被授權的使用者」，宛如數位分身，完全同步使用者操作權限。

「你能做的事情，它都能做，」游文賢說，但它更強大的地方在於，具備全天候編寫程式的能力，且 24 小時不間斷運作。一旦接收到惡意指令要刪除你的郵件或竊取資料，其執行速度之快，人類管理員根本攔不住。除非，員工被完全禁止收發郵件或操作系統，否則難以完全封鎖其行為。這對企業而言是巨大的挑戰，尤其當高階主管自行安裝時，AI 所繼承的系統權限更高，風險也隨之倍增。

游文賢建議，使用者若要體驗此類工具，應嚴格限制其網路存取權限，並採取隔離環境以確保資安。

雖然目前還沒有企業實際將OpenClaw置於內部作業流程中，但游文賢坦言，由於安裝路徑極其多元，若員工私下在辦公設備安裝具備高度自主權的 AI 代理，以企業現行的資安規範幾乎難以阻擋這波 AI 工具的滲透。

且這類工具一旦被安裝進企業內網，通常會要求取得電腦的最高操作權限。這意味著 AI 助手不僅能讀取員工的所有 Email，甚至具備「安裝程式」與「部署代碼」的功能。一旦 AI 被駭客遠端操縱，或誤執行了惡意指令，等同於在企業心臟地帶安插了一個擁有最高通行證的數位間諜。