回上列表
中心指,隨著OpenClaw的普及程度不斷提升,與之相關的安全風險也日漸浮出水面。據報道,已有惡意攻擊者利用偽造的GitHub程式碼庫及Bing AI的搜尋結果,向搜尋OpenClaw Windows安裝程式的使用者,散播能夠竊取資訊的惡意軟體與代理型惡意軟體。另有報告指出,OpenClaw曾有高風險漏洞,惡意網站能藉此挾持開發者的OpenClaw代理程式,幸而該漏洞已於2026年2月26日獲修復。此事件被認為是一個警示,說明了若缺乏充分的安全監管與控制措施,部署AI代理工具的組織可能會面臨更大的風險暴露。
除了平台本身的漏洞,OpenClaw的技能生態系也浮現新的攻擊破口。其官方文件顯示,OpenClaw 設有開源技能註冊庫ClawHub,允許使用者發布skills以擴充平台功能,並可在此搜尋、安裝、更新及發布技能。技能通常由SKILL.md說明檔及相關輔助檔案組成。這種開放式擴充模式雖加速功能成長,卻也引進第三方元件的供應鏈風險。
中心提出幾項建議,包括核實下載來源與安裝指引、盡快更新OpenClaw 版本、審慎安裝第三方「技能」腳本、警惕代理要求執行高風險操作、把OpenClaw視為高權限自動化平台管理。(ha/da)~
阿思達克財經新聞
網址: www.aastocks.com
香港網絡安全事故協調中心:AI代理平台風險面超出一般聊天式AI工具
2026/03/12 12:18
香港網絡安全事故協調中心提醒,AI代理平台如具備本機操作、第三方功能插件安裝及外部服務整合能力,其風險面已超出一般聊天式AI工具。機構在引入相關工具時,應同步評估版本風險、供應鏈風險及權限管理安排,並避免在未經核實下執行代理提示的高風險操作。中心指,隨著OpenClaw的普及程度不斷提升,與之相關的安全風險也日漸浮出水面。據報道,已有惡意攻擊者利用偽造的GitHub程式碼庫及Bing AI的搜尋結果,向搜尋OpenClaw Windows安裝程式的使用者,散播能夠竊取資訊的惡意軟體與代理型惡意軟體。另有報告指出,OpenClaw曾有高風險漏洞,惡意網站能藉此挾持開發者的OpenClaw代理程式,幸而該漏洞已於2026年2月26日獲修復。此事件被認為是一個警示,說明了若缺乏充分的安全監管與控制措施,部署AI代理工具的組織可能會面臨更大的風險暴露。
除了平台本身的漏洞,OpenClaw的技能生態系也浮現新的攻擊破口。其官方文件顯示,OpenClaw 設有開源技能註冊庫ClawHub,允許使用者發布skills以擴充平台功能,並可在此搜尋、安裝、更新及發布技能。技能通常由SKILL.md說明檔及相關輔助檔案組成。這種開放式擴充模式雖加速功能成長,卻也引進第三方元件的供應鏈風險。
中心提出幾項建議,包括核實下載來源與安裝指引、盡快更新OpenClaw 版本、審慎安裝第三方「技能」腳本、警惕代理要求執行高風險操作、把OpenClaw視為高權限自動化平台管理。(ha/da)~
阿思達克財經新聞
網址: www.aastocks.com
 |