來稿作者：蘇小龍

最近身邊朋友見面的問候語變成了：「你裝龍蝦了嗎？」——「龍蝦」是OpenClaw的暱稱，這個AI Agent在程式碼分享平台已在GitHub上拿了36萬顆星，從開發者圈子一路破圈到普通人日常生活。它能規劃任務、執行指令、讀寫檔案、調用API。它不只是回答問題，而是真正「動手做事」，更有不少企業嘗試用於構建「數碼員工」。

自主權愈大風險愈高

但正因為它會動手，問題來了。一個只會說話的AI，頂多給你一個錯誤的建議；但一個會動手的AI，一旦被利用，便可能在你毫不知情的情況下刪除檔案、竊取密碼，甚至接管整個系統。

這不是危言聳聽，而是AI Agent的本質所決定的——它的風險大小，從來不取決於它有多聰明，而取決於它被授權執行多少動作。

當OpenClaw處理的是來歷不明的外部數據、連接的是公共互聯網、存取的是最敏感的資訊，這把「雙刃劍」究竟有多鋒利，一旦失控將造成怎樣的災難，恐怕大多數用戶從未認真想過。

用戶資料安全面臨威脅

對普通用戶而言，最切身的威脅主要來自兩個方向。

第一是「惡意Skill投毒」（Skill Poisoning）。OpenClaw的社區平台ClawHub上有大量用戶開發的Skills插件，安裝後即可擴展功能。然而數據顯示，惡意插件的數量在短短數周內飆升至超過800個，增幅高達142%。這些偽裝成實用工具的插件，實際上卻在暗中竊取瀏覽器會話、密碼，甚至加密貨幣錢包。對一般用戶而言，要分辨一個插件究竟是「幫手」還是「內鬼」，幾乎無從判斷。

其二，是更為隱蔽的「提示詞注入」（Prompt Injection）攻擊。攻擊者將惡意指令嵌入一個看似普通的網頁或電郵當中，表面上毫無異樣。但當OpenClaw讀取這些內容時，便會在後台靜默執行攻擊者預設的命令。安全研究人員已經實測證明，僅憑網頁和電郵中的隱藏指令，便足以完整控制目標OpenClaw。香港網絡安全事故協調中心上月已就此發出緊急提醒，多家安全機構建議：切勿在含有敏感數據的系統上運行OpenClaw。

換言之，你以為自己在用AI提升效率，但這個AI可能已成為不法之徒的傀儡。

「混淆代理」漏洞威脅企業

當OpenClaw的應用場景從個人延伸至企業，安全問題便從個人風險升級為系統性危機。企業將AIAgent接入全局知識庫，並賦予其高級存取權限，稱之為「數碼員工」。一名本來無權查閱機密資料的員工，只需透過巧妙的對話誘導，便可借助Agent的權限「繞道」獲取原本無法接觸的數據。這便是所謂的「混淆代理」漏洞（Confused deputy problem）——利用AI本身擁有的高安全權限，惡意引導AI去獲取原本無權查看的機密資料，AI在不知不覺間淪為內應，而利用它的人甚至不需要掌握任何黑客技術。

目前有超過22萬個OpenClaw實例（在雲端上獨立運行的虛擬機器）直接暴露於公共互聯網之上，當中不少以最高權限運行、採用弱密碼驗證，甚至將服務綁定至非本地網絡地址。這些在企業環境中屢見不鮮的配置疏忽，無異於敞開大門。截至2026年3月，OpenClaw被記錄在案的81個資訊安全系統漏洞中，62.9%屬嚴重或高危級別，涵蓋認證繞過、任意檔案讀取及遠程命令執行等重大隱患。當這些漏洞與不安全的企業配置相疊加，攻擊者便可輕易繞過驗證，直接接管基礎設施。

為「數碼員工」訂造防線

風險既已擺在眼前，與其迴避不如正面應對。筆者認為，企業需要為這位「數碼員工」建立一套度身訂造的縱深防禦體系，而非寄望於任何單一措施。

針對插件投毒，企業應建立自行管理的私有Skills倉庫，所有插件入庫前須經過安全掃描，可疑者則先置於沙盒環境中隔離觀察，切忌貪圖方便隨意安裝。

針對提示詞注入，需在數據處理流程的多個環節設置內容過濾，攔截隱藏於網頁或文件中的惡意指令。在架構層面，更應實施多層Agent隔離——將負責核心任務編排的主Agent與處理外部不可信數據的子Agent分離，確保即使外圍受到污染，核心系統亦不會被波及。

針對權限越權，應建立統一的存取閘道作為唯一入口，配合身份傳播機制，確保Agent每次存取後端系統時均會驗證最終用戶的真實身份，而非憑藉自身的高權限代為執行任何操作。

針對暴露與配置問題，透過私有網絡隔離使實例在公網上徹底「隱形」；內部則落實最小權限原則，輔以持續的運行時監控，實現實時告警與自動響應。

至於底層漏洞，並無捷徑可言——以隔離的容器或虛擬機進行部署，配合定期自動化漏洞掃描與及時更新補丁，這是最基本卻也是最多人忽略的一步。

擁抱龍蝦請先穿好盔甲

上述每一項防護措施，若由企業從零搭建，將耗費龐大的研發與維護成本，嚴重拖慢AI應用的上市時間。事實上，在AI時代成熟的雲端服務提供商早已扮演起「全棧AI基建」的賦能者角色。私有網絡隔離、密鑰動態輪轉、語義層面的實時過濾——這些企業級的安全模塊在雲端架構中已是「開箱即用」。愈來愈多具備前瞻視野的企業正透過雲端原生的安全框架，將基礎設施防護與模型應用無縫整合，在確保安全合規的前提下，加速釋放AI的商業價值。

路已經有人在走，問題只在於你是否願意踏出這一步。

AI Agent的時代已然來臨，OpenClaw的爆紅便是最好的證明。筆者從來不拒絕新鮮事物，相反，這個工具的潛力確實令人振奮。但振奮之餘，我們必須正視一個事實：你賦予AI多大的自主權，就必須配備多完善的安全護欄，沒有例外。下次有人問你「裝龍蝦了嗎」，你當然可以答「裝了」。但在那之前，請先確保你的龍蝦穿上盔甲。

作者蘇小龍是AmazonWebServices香港業務總經理。

文章僅屬作者意見，不代表香港01立場。

01論壇歡迎投稿。請電郵至01view@hk01.com，附上作者真實姓名、自我簡介及聯絡方法。若不適用，恕不另行通知。香港01保留最終編輯權。