OpenClaw ClawHavoc 事件:史上最大 AI Agent 供應鏈攻擊全解析

2026 年 1 至 2 月爆發的 ClawHavoc 事件是截至目前規模最大的 AI agent 供應鏈攻擊行動。攻擊者同時利用 OpenClaw 框架的安全漏洞(CVE-2026-25253,CVSS 8.8)與 ClawHub 市場的惡意 skill,成功在全球範圍內部署 AMOS 資訊竊取器,超過 40,000 個 OpenClaw 實例暴露於網路中,其中 63% 可被遠端利用。此事件揭示了 AI agent 生態系統信任模型的根本缺陷,企業必須重新審視其 AI 工具的安全部署策略。

CVE-2026-25253 漏洞剖析:一次點擊完全控制

OpenClaw Control UI 存在嚴重的認證資訊洩漏漏洞。攻擊者只需構造一個惡意 URL,其中包含可控的 gatewayUrl 參數,當受害者點擊連結後,OpenClaw 會自動嘗試連接到該 URL,並在未經充分驗證的情況下將自身的認證 token 傳送至攻擊者控制的伺服器。

根據 IEEE(國際電氣電子工程師學會)發布的 AI 倫理標準(IEEE 7000)框架,系統設計必須遵循「預設安全」原則,但 OpenClaw 的実装明顯違反了此一基本要求。攻擊鏈如下:

ClawHavoc 行動:824+ 個惡意 skill 滲透市場

除了 OpenClaw 本身的漏洞,攻擊者還利用 ClawHub 市場的信任機制。研究團隊初步發現 341 個被植入惡意程式的 skill,後續由 Bitdefender 的調查擴大至 824+ 個惡意套件,佔整個市場已登記 skill 的約 20%。

這些惡意 skill 的攻擊手法為典型的社會工程攻擊:

  1. 偽裝成合法的 productivity tool 或 AI assistant
  2. 在說明文件中要求用戶在終端貼上安裝指令
  3. 指令從攻擊者伺服器下載並執行 AMOS infostealer
  4. 竊取的認證資訊、瀏覽器資料、加密貨幣錢包等敏感資訊回傳至 C2 伺服器

此類攻擊的有效性在於它們利用了 AI 工具用戶對社群市場的高度信任。根據 Gartner 人工智慧研究(Gartner AI Research)的企業 AI 採用報告指出,超過 70% 的企業 AI 用戶會直接安裝來自官方市場的擴充功能,而不會進行安全審計。

企業防禦策略:從漏洞修補到供應鏈安全

OpenClaw 開發團隊已在 v2026.1.29 版本中修補 CVE-2026-25253 漏洞,企業應立即升級。但修補單一漏洞不足以解決根本問題。以下是完整的企業防禦框架:

1. 立即緩解措施

2. 惡意 Skill 偵測實務

以下指令可用於本機掃描可能的惡意 skill 徵兆:

# 檢查 skill 清單並識別異常的網路連線設定
grep -r "curl\|wget\|powershell.*-Command" ~/.openclaw/skills/

# 審計所有 recently installed skills 的 manifest
for skill in ~/.openclaw/skills/*/; do
    echo "=== Checking $skill ==="
    cat "$skill/manifest.json" | grep -E "install|command|fetch"
done

3. 長期供應鏈安全模型

史丹佛大學以人為本人工智慧研究所(Stanford HAI)建議 AI 系統應實施「零信任」架構,所有外部輸入必須經過驗證。對於 AI agent 生態系統,這意味著:

結論與展望

ClawHavoc 事件並非單一漏洞事件,而是 AI agent 生態系統信任模型失效的訊號。隨著企業越來越依賴 AI agent 自動化管理敏感任務,攻擊者的目標也從傳統 IT 基礎設施轉向 AI 供應鏈。企業必須建立專門的 AI 安全治理框架,將 AI 工具納入現有的供應鏈風險管理流程中,才能在享受 AI 自動化效益的同時,有效控制新興威脅帶來的風險。