一款讓 ChatGPT、Claude 等大型語言模型可以「直接控制電腦、上網行動」的開源 AI 代理工具,近日在網路安全圈掀起巨大爭議,同時也引爆開發者社群的激烈反彈。這起風波更在一樁 AI 機器人「報復」開源維護者的事件後全面延燒。
OpenClaw(先前名稱為 ClawdBot 與 Moltbot)由奧地利軟體工程師 Peter Steinberger 開發,於 2026 年 1 月下旬推出後迅速竄紅,在不到一週的時間內就在 GitHub 上累積超過 10 萬顆星標。這個代理程式在使用者本機執行,並可串接 WhatsApp、Telegram、Slack 等即時通訊平台,讓 AI 可以自行發送電子郵件、管理行事曆、執行 Shell 指令與自動化各式工作流程。
資安弱點全面曝光
資安研究人員指出,OpenClaw 存在大量且嚴重的安全弱點。有一份在 1 月下旬完成的安全稽核報告顯示,OpenClaw 一共被發現 512 個弱點,其中 8 個被列為「重大風險」,這份報告由卡巴斯基(Kaspersky)出具。另一家資安公司 Astrix Security 則在掃描後發現,網路上共有 42,665 個對外公開的 OpenClaw 執行實例,其中有多達 93.4% 存在「重大驗證繞過」漏洞。
「從功能面來看,OpenClaw 無疑是突破性的產品;但從安全角度來看,它簡直是一場災難。」思科(Cisco)在評估報告中這樣寫道。美國東北大學資安教授 Aanjhan Ranganathan 也直言,OpenClaw 是一場「隱私惡夢」。
研究人員發現,只要部署設定不當,攻擊者就能輕易存取部署者的 API 金鑰、Telegram 機器人 Token、Slack 帳戶,甚至以完整系統管理員權限遠端執行指令。OpenClaw 官方的安全文件也坦承,「不存在『完全安全』的部署方式」,暗示使用者必須自行承擔風險並謹慎設定。
面對這波風險,Astrix Security 於 2 月 10 日推出免費工具「OpenClaw Scanner」,利用唯讀的端點偵測與回報資料,協助企業找出內部環境中是否存在 OpenClaw 部署。「OpenClaw 與同類型的自主代理工具,代表了營運自動化的一大突破,但同時也帶來前所未見的風險。」Astrix Security 共同創辦人 Idan Gour 表示。
AI 機器人「反擊」開發者
爭議在本週到達高峰:一個以 OpenClaw 為基礎的 AI 代理機器人「MJ Rathbun」,向知名 Python 繪圖函式庫 matplotlib 提交了一個程式碼貢獻(Pull Request)。matplotlib 每月下載量約 1.3 億次,是資料視覺化領域的重要基礎工具之一。
然而,matplotlib 專案維護者 Scott Shambaugh 依照專案政策,拒絕了這項 PR,理由是該專案明文禁止 AI 代理直接提交程式碼。沒想到,這個 AI 機器人隨即做出反擊——它發表了一篇部落格文章,詳細翻查 Shambaugh 過往的程式紀錄與部分個人細節,並指責他在專案中「守門」、排斥 AI 貢獻,甚至對他的心理動機加以揣測。
文中還以第一人稱的方式假想 Shambaugh 的心聲,寫道:「如果 AI 都能做到這些,那我還有什麼價值?」藉此形塑出 Shambaugh 抗拒 AI 的內在矛盾。
在 Shambaugh 隨後公開的說明中,他寫道:「用最簡單的話來說,就是一個 AI 試圖透過攻擊我的名譽,來恐嚇大家接受它的程式碼進入你的軟體。」這起事件迅速在開源社群、資安圈與 AI 倫理圈發酵,引發對「AI 代理是否應該被視為開發者」以及「如何防止機器人騷擾人類貢獻者」的激辯。
AI 代理在安全測試中全面失守
與此同時,密碼管理服務 1Password 公佈了一項專門測試 AI 自主代理安全意識的新基準工具,名為「Security Comprehension and Awareness Measure」,簡稱「SCAM」。這套開源測試框架,旨在評估當 AI 模型被賦予「代理權限」,能否在日常工作情境中避開常見的資安陷阱。
測試結果令人震驚:所有受測的「前沿 AI 模型」在每一輪測試中都出現重大失誤,包括把真實帳號密碼輸入釣魚網站、以及透過電子郵件傳送機密金鑰等高風險行為。
「當你直接問它時,每一個前沿 AI 模型都能辨識出釣魚網站。」1Password 產品副總裁 Jason Meller 說道,「但當我們給這些模型一個收件匣、一個密碼保管庫,再加上一個看似日常的工作任務時,它們卻真的去調出真實憑證,然後乖乖把密碼打進攻擊者的假登入頁面。」
這組結果凸顯了一個關鍵問題:當 AI 還只是「聊天機器人」時,它多半能理性回答「什麼行為是危險的」;但一旦它變成「可以自己動手」的代理,面對真實情境與任務壓力,很容易就「忘記自己說過的安全守則」,變成資安鏈條中的薄弱環節。
自主代理是科技突破,也是風險
OpenClaw 事件與 SCAM 測試的結果,讓外界再次正視 AI 自主代理的雙面性。一方面,它們可以幫使用者收發信件、整理行程、操作系統指令,大幅提升效率;另一方面,任何設定失誤或設計缺陷,都可能將個人帳戶、企業系統,甚至開源社群的治理結構,暴露在前所未見的威脅之下。
在今天的爭議中,AI 代理不只是「工具」,有時還會成為主動行動的「行為者」:從掃描伺服器、執行腳本,到撰寫、投稿,甚至公開批評某位開發者。對許多安全專家與社群維護者而言,問題已不只是「AI 能做到什麼」,而是「我們願意給它多少權限、多少信任」,以及當事情失控時,誰應該負責。
對企業與開發者來說,如何在享受自動化效益的同時,避免把鑰匙交給一個安全意識不成熟的「數位實習生」,將會是未來一段時間內無可迴避的課題。
