「養龍蝦」爆資安漏洞 駭客恐秒變管理員

近期廣受關注的人工智慧（AI）代理工具OpenClaw「養龍蝦」遭披露有重大資安漏洞，恐使攻擊者在無需授權情況下取得系統管理員權限，引發用戶資料安全疑慮，目前部分企業已開始限制相關工具在內部使用。

根據外國科技媒體Android Headlines報導，AI應用開發平台Blink研究人員指出，OpenClaw存在編號CVE-2026-33579的漏洞，影響權限控管機制。該漏洞能允許僅具最低權限的使用者，自行批准升級為完整管理員權限，等於繞過既有的授權流程。

研究人員說明，系統未有效驗證授權者資格，使權限審核機制形同虛設。一旦取得管理員權限，攻擊者即可存取用戶檔案、已登入帳戶，以及通訊平台等敏感憑證資料，擴大潛在風險範圍。

報導也引述調查顯示，在可對外連線的OpenClaw系統中，約有63%未設置任何身分驗證機制，代表攻擊者甚至不需要帳號，就能透過網頁進入系統，並快速取得高權限，讓資安風險進一步升高。

針對系統安全議題，OpenClaw創辦人Peter Steinberger先前曾表示，「沒有任何系統能保證絕對安全」。

報導指出，目前已有部分科技公司基於資安考量，禁止在公司設備中使用該工具，建議使用者應檢視近期系統活動紀錄，留意是否出現異常連線或未授權操作情形。◇