「太空龍蝦」失控:為何 Meta 與科技巨頭正全面清除 OpenClaw
「影子 AI」(Shadow AI)時代已正式到來,且它有個名字:OpenClaw。
在一項凸顯了開發者自主權與企業安全之間日益摩擦的果斷行動中,Meta 已發布嚴格禁令,禁止在其公司網路中使用 OpenClaw(原名為 Clawdbot)。這款風靡全網的開源代理程式允許使用者透過 WhatsApp 和 Slack 等通訊軟體控制本地機器,已被各大科技公司的安全團隊標記為「高風險(high-severity risk)」。
該禁令是在該專案動盪的一週後發布的,期間其 GitHub 星數飆升至超過 145,000 顆,經歷了兩次緊急更名,並遭受了一個嚴重的遠端程式碼執行(Remote Code Execution, RCE)漏洞,導致數千台開發者機器暴露在風險中。對於 Creati.ai 的讀者來說,OpenClaw 傳奇不僅僅是一個安全新聞——它是誰掌控人工智慧(Artificial Intelligence, AI)「雙手」戰爭中的第一場重大戰役。
從爆紅寵兒到安全棄兒
為了理解這項禁令的嚴重性,必須先了解該工具前所未有的吸引力。由 PSPDFKit 創辦人 Peter Steinberger 創建的 OpenClaw(最初以 Clawdbot 名稱發布)承諾成為「真正能做事的人工智慧」。
與存在於瀏覽器分頁中的傳統聊天機器人不同,OpenClaw 在使用者的硬體上本地運行——通常是 Mac Mini 或後端伺服器。它充當 Claude 或 GPT-4 等大型語言模型(Large Language Models, LLMs)與使用者作業系統之間的橋樑。使用者可以傳送指令,例如「在我的桌面找到第四季報告並寄給 Sarah」或「重構這段程式碼並執行測試」,而 OpenClaw 會使用 shell 指令與檔案系統存取權限自主執行這些任務。
這種「本地優先(Local-First)」架構深受厭倦了雲端限制的開發者青睞。然而,它也為 IT 安全部門創造了一個噩夢場景:一個未經審核、擁有公司設備完全讀寫權限的自主代理程式,且透過未加密或容易被偽造的通訊頻道進行控制。
觸發因素:CVE-2026-25253
行業範圍內打擊行動的轉折點似乎是 CVE-2026-25253 的揭露。安全研究人員在 OpenClaw 的本地閘道中發現了一個跨站 WebSocket 劫持漏洞。該漏洞允許惡意網站靜默連接到正在運行的 OpenClaw 實例,並在受害者不知情的情況下於其機器上執行任意程式碼。
雖然 OpenClaw 社群迅速採取行動修補了該問題,但其在企業領域的聲譽損害已經造成。
Meta 禁令內幕:「先緩解,後調查」
根據業內人士獲得的內部通訊,Meta 的安全領導層採取了「先封鎖」的政策。這項於上週末發布的指令明確禁止在任何公司發配的硬體上安裝或執行 OpenClaw。據報導,違反該政策的員工將面臨紀律處分,最高包括終止聘僱。
Meta 以及包括 Valere 和 Massive 在內的其他公司引述的理由超出了單一漏洞的範疇。核心擔憂包括:
- 不可預測的行為: 作為一個代理系統,OpenClaw 可能會做出偏離使用者意圖的決策,潛在地修改或刪除關鍵的系統檔案。
- 數據外洩(Data Exfiltration): 該工具讀取本地檔案並透過第三方通訊應用程式(如 Telegram 或 WhatsApp)傳輸摘要的能力,規避了數據遺失防護(Data Loss Prevention, DLP)協議。
- 提示詞注入(Prompt Injection): 安全稽核員演示了 OpenClaw 可能會被惡意郵件誤導。如果代理程式被指示「總結未讀郵件」,一封包含隱藏文本的武裝郵件可以命令代理程式匯出 SSH 金鑰或敏感程式碼庫。
供應鏈攻擊
讓恐慌加劇的是,在禁令實施前不久發生了一起涉及 npm 套件生態系統的獨立事件。駭客入侵了一個受歡迎的開發者工具 cline,注入了一個安裝後腳本,該腳本會在開發者機器上靜默安裝 OpenClaw。這種「路過式」安裝將原本有幫助的代理程式變成了潛在的「休眠惡意軟體」,如果配置不當,它有能力接收外部攻擊者的指令。
代理程式與企業標準之間的差距
OpenClaw 事件說明了開源 AI 代理程式的現狀與現代企業嚴格安全要求之間的根本脫節。開發者優先考慮速度和功能,而企業則要求可審核性和隔離性。
下表對比了 OpenClaw 的預設架構與標準企業安全要求,突顯了為何該工具目前與企業環境不相容。
表格:OpenClaw 架構 vs. 企業安全標準
| 安全面向 | OpenClaw 實作 | 企業要求 |
|---|---|---|
| 執行環境 | 直接在宿主作業系統運行(使用者層級) | 沙箱容器或虛擬機(VM)隔離 |
| 身分驗證 | 簡單權杖(Token) / 通訊軟體 ID | SSO、MFA 與 RBAC(基於角色的存取控制) |
| 輸入驗證 | 易受提示詞注入攻擊 | 嚴格的輸入清理與護欄 |
| 數據出口 | 無限制(通訊軟體、網頁) | 白名單端點與 DLP 掃描 |
| 稽核追蹤 | 本地文字日誌(使用者可編輯) | 不可變、集中式的 SIEM 日誌記錄 |
| 更新機制 | 手動 git pull 或 npm 更新 |
受控、經過驗證的補丁管理 |
行業反應:「攜帶自有代理程式」的終結?
對 OpenClaw 的打擊信號著公司看待「攜帶自有 AI(Bring Your Own AI, BYOAI)」方式的轉變。正如 IT 部門曾經難以管理未經授權的智慧型手機(BYOD)一樣,他們現在面臨著**影子代理(Shadow Agents)**的挑戰——員工為了提高生產力而安裝的個人 AI 工具,但這些工具引入了巨大的攻擊面。
Valere 的執行長 Guy Pistone 在接受採訪時指出,允許使用 OpenClaw 就像是「把伺服器機房的鑰匙交給實習生,且不加監督」。安全領導者的共識是,雖然 代理式人工智慧(Agentic AI) 是未來,但它不能建立在消費級、無授權的架構之上。
創辦人的動向
在一個引發進一步猜測的轉折中,Peter Steinberger 最近宣布他將加入 OpenAI,而 OpenClaw 專案將移至一個獨立的開源基金會。這一過渡表明,雖然 OpenClaw 的「荒野西部」時代可能即將結束,但其背後的技術正在被納入主流 AI 開發管道中。
結論:AI 採用者的教訓
OpenClaw 作為自主 AI 力量的一個有力概念驗證。它證明了代理程式 可以 有意義地與現實世界互動,瀏覽檔案系統並執行複雜的工作流程。然而,其「失控」地位也發出了警告。
對於 Creati.ai 的讀者與 AI 開發者來說,教訓很明確:沒有護欄的自主權是一種負債。 隨著我們邁向完全代理式工作流程的未來,焦點必須從「這個代理程式能做什麼?」轉向「這個代理程式被 禁止 做什麼?」。在開源代理程式的安全架構成熟到足以匹配企業標準之前,像 OpenClaw 這樣的工具對於愛好者來說仍將是強大的玩具——而對於企業界來說,則是禁果。
