引言:沒有審計的 AI,是黑客的提款機
在 Stage 1 中,我們揭示了 OpenClaw 架構上的系統性缺陷。今天,我們將直擊三個真實的“血色現場”。這些案例證明了一個殘酷的事實:在 AI 代理領域,最基礎的疏忽,往往會導致最災難性的資產崩盤。
案例一:150 萬憑據洩露,起底“情緒編程”的致命代價
事件背景: OpenClaw 核心 AI Agent 社交平臺 Moltbook 發生大規模數據洩露。
• 事故核心: 超過 150 萬個 Agent 憑據(Credentials)流出。
• 致命原因: 並非由於複雜的 0 Day 漏洞,而是最基礎的訪問控制機制形同虛設。
• 深度覆盤: Moltbook 創始人坦言,系統全棧代碼均由 AI 自動生成(Vibe Coding),他本人甚至沒有寫過一行代碼。
WEEX Labs 觀察: “情緒編程”讓開發門檻降到了零,但也讓安全門檻降到了負數。AI 可以生成功能,但目前還無法生成“防禦直覺”。缺乏人工安全審計的 AI 代碼,本質上是在沙灘上蓋摩天大樓。
案例二:明文存儲的“藏寶圖”,Infostealer 木馬的精準狩獵
事件背景: 2026 年 2 月,安全公司檢測到竊密木馬 Vidar 的新變種正專門針對 OpenClaw 用戶進行攻擊。
• 攻擊路徑: 黑客不需要挖掘代碼漏洞,只需更新木馬的“文件抓取”規則,掃描默認目錄 ~/.openclaw。
• 損失規模: 超過 百萬終端 的 AI 身份面臨接管風險。
• 技術槽點: OpenClaw 將 token、private key 等核心敏感信息以明文形式存儲在本地配置文件中。
WEEX Labs 觀察: “開源”不代表可以“開門”交出機密數據。在 Web3 環境下,本地配置文件的安全級別應等同於私鑰。OpenClaw 的這一設計失誤,直接讓 AI 助手變成了黑客的“帶路黨”。
案例三:CVE-2026-25253,點擊即淪陷的 RCE 高危漏洞
事件背景: 2026 年 1 月,OpenClaw 緊急修復了一個 CVSS 評分高達 8.8 的高危漏洞。
• 攻擊手法: 跨站 WebSocket 劫持(CSWSH)。
• 恐怖之處: 未經身份驗證的遠程攻擊者,只需誘導受害者點擊一個惡意鏈接,就能利用瀏覽器作為跳板,繞過沙箱,在宿主機上執行任意系統底層命令。
• 教訓: “本地訪問”並不意味著安全。
WEEX Labs 觀察: 這一漏洞再次證明了“零信任架構”的重要性。在 AI 代理頻繁調用系統權限的今天,任何一次外部鏈接的點擊都可能演變成整機淪陷。
WEEX Labs 總結
這三個案例向我們展示了 AI 安全的三重威脅:代碼不可控(案例一)、數據不加密(案例二)、邊界不安全(案例三)。 在追求 AI 帶來的生產力爆發時,如果我們不守住安全的底線,那麼我們構建的每一個 AI 助手,都可能成為埋在自己系統裡的定時炸彈。
