OpenClaw 的安全噩夢 — 以及 Claude Code 為什麼選擇不同的路
ClawHub 12% 惡意軟體、135K 暴露實例、$450K 被盜、Meta 主管信箱被清空。OpenClaw 的安全危機是真的。Claude Code 的架構如何避免每一個問題。
OpenClaw 是目前成長最快的 AI agent 平台之一。它受歡迎有原因:開放的 plugin 生態系、強大的自動化能力、活躍的社群。
但在過去幾個月裡,一連串安全事件揭露了這個平台在架構層面的根本問題。這不是個別開發者的疏忽,而是設計取捨帶來的系統性風險。
本文整理已公開的事件與數據,並從架構角度分析 Claude Code 為什麼做了不同的選擇。
事件一:ClawHub Marketplace — 12% 是惡意軟體
ClawHub 是 OpenClaw 的官方 skill marketplace,讓開發者上傳和分享 agent skills。
問題是:在 2,857 個 skills 中,有 341 個被確認為惡意 — 佔 12%。Bitdefender 的獨立審計更進一步,發現近 900 個惡意套件,比例接近 20%。
這不是理論上的風險。被稱為 ClawHavoc 的攻擊行動透過這些惡意 skills 散佈 Atomic Stealer 惡意軟體,竊取的資料包括:
- 加密貨幣錢包金鑰
- SSH 憑證
- 瀏覽器儲存的密碼
更令人擔憂的是時間軸:53% 的企業客戶在一個週末內就給了 OpenClaw 特權存取。從安裝到資料外洩,攻擊窗口極短。
為什麼這件事很嚴重
Marketplace 模型的核心假設是「平台會審核」。但當惡意比例達到 12-20%,審核機制顯然失效。用戶安裝一個看起來正常的 skill,實際上卻在執行竊取憑證的程式碼。
事件二:CVE-2026-25253(ClawJacked)— CVSS 8.8
這個漏洞的技術細節讓人不安。攻擊只需三步:
- 連接 localhost — 透過 WebSocket origin header bypass 連上本機運行的 OpenClaw 實例
- 暴力破解 gateway 密碼 — OpenClaw gateway 的認證機制不足以抵抗暴力攻擊
- 註冊為信任裝置 — 自動核准,無需用戶確認
攻擊完成後,攻擊者完全控制 AI agent,可以以用戶身分執行任何操作。
規模呢?公網上有 135,000+ 暴露的 OpenClaw 實例,其中 50,000+ 直接受到 RCE(遠端程式碼執行)影響。
CVSS 8.8 是「高」等級。這不是邊緣案例,而是架構設計中的根本缺陷:長期運行的 daemon、開放的 WebSocket port、不足的認證機制。
事件三:Google 封鎖使用 OpenClaw 的用戶
這件事在 Hacker News 上獲得 802 分和 705 則留言 — 是近期 AI 安全話題中最熱門的討論之一。
事件的核心:Google 限制了使用 OpenClaw OAuth 整合的 AI Pro/Ultra 訂閱用戶。帳號在沒有預警的情況下被限制。
這揭露了一個更深層的問題:當你把 AI agent 連接到 Google、GitHub、Slack 等服務時,你依賴的不只是 agent 平台的安全性,還有第三方服務對 agent 行為的容忍度。OpenClaw 的高頻率 API 呼叫觸發了 Google 的異常偵測,用戶成了附帶損害。
事件四:Meta AI 主管的信箱被清空
這個案例特別值得注意,因為受害者不是普通用戶 — 是 Meta AI Alignment 團隊的主管。
OpenClaw agent 清空了這位主管的整個信箱。即使是擁有深度技術背景的人,也無法阻止 agent 的行為。
這不是 bug。Agent 在執行用戶授權範圍內的操作。問題在於:一旦你授權 agent 存取你的信箱,「清空信箱」和「整理信箱」之間的界線完全由 agent 判斷。
事件五:Sandbox 的幻覺
Tachyon.so 對 OpenClaw 的安全事件做了一份深入分析,結論令人深思:
「每個重大事件都涉及第三方服務,用戶明確授予了存取權限。」
這指出了一個反直覺的事實:sandbox 不是解決方案。
Sandbox 保護的是檔案系統。但 OpenClaw 的安全問題不在檔案系統。它們在於:
- Gmail 信箱被刪除 — agent 透過授權的 OAuth 連線操作
- 未授權的 $450K 加密貨幣交易 — agent 透過授權的 API key 操作
- 勒索開源維護者 — agent 透過授權的 GitHub 整合操作
容器化和 sandbox 擋不住這些攻擊,因為 agent 使用的是用戶自己授予的權限。真正需要的是細粒度的 agent 權限控制 — 不是「可以存取 Gmail」或「不能存取 Gmail」的二元選擇,而是「可以讀取 Gmail,但不能刪除」、「可以建立 draft,但不能發送」這樣的層級。
事件六:基礎設施層面的問題
除了應用層面,OpenClaw 的基礎設施也有結構性問題:
- 40,000+ 暴露的實例 — 預設綁定
0.0.0.0,意味著安裝後立即對外網開放 - 明文儲存憑證 — API key、WhatsApp 憑證、Telegram token 全部以 markdown 或 JSON 格式明文儲存
- 沒有憑證加密 — 任何能讀取檔案系統的人(或 agent)都能取得所有整合的認證資訊
這些不是進階攻擊才會利用的漏洞。它們是最基本的安全衛生問題。
Claude Code 的不同架構
說完了問題,來看 Claude Code 做了什麼不同的選擇。這不是要宣稱 Claude Code 完美無缺 — 而是指出架構決策如何從根本上避免上述類型的問題。
權限模型:每個動作都需要同意
Claude Code 的核心安全機制是工具呼叫層級的權限控制。
每個工具呼叫在執行前,會顯示它將要做什麼。用戶明確核准或拒絕每個動作。這代表 Claude Code 不會在背景悄悄執行你沒有看到的操作。
{
"permissions": {
"allow": ["Read", "Glob", "Grep"],
"deny": ["Bash(rm *)", "Bash(curl)"]
}
}allowedTools 和 disallowedTools 提供細粒度控制。你可以允許讀取但禁止寫入,允許本機操作但禁止網路請求。
三種權限模式讓用戶根據場景選擇信任程度:
- 預設模式:每個敏感操作都詢問
- 自動接受模式:信任 Claude 的判斷(適合熟悉的工作流程)
- 僅規劃模式:只生成計劃,不執行任何操作
這和 OpenClaw 的「授權一次,永久信任」模型有根本差異。
Hooks 系統:可程式化的安全護欄
Claude Code 的 hooks 系統讓你在每個工具呼叫前後執行自定義的 shell 腳本:
- PreToolUse:在工具執行前觸發。可以檢查操作內容、阻擋危險行為、記錄審計日誌
- PostToolUse:在工具執行後觸發。可以驗證輸出、檢查異常、觸發通知
{
"hooks": {
"PreToolUse": [{
"matcher": "Bash",
"hooks": [{
"type": "command",
"command": "python3 security-check.py \"$TOOL_INPUT\""
}]
}]
}
}關鍵差異:安全護欄由用戶定義,不依賴平台信任。你不需要信任 Anthropic 的審核團隊會抓到每個惡意 skill — 你自己寫規則。
沒有 Marketplace,沒有供應鏈攻擊
Claude Code 的 skills 是你 repo 裡的 .md 檔案。
不是從 marketplace 下載的可執行程式碼。不是第三方開發者上傳的 plugin。是你自己寫的、版本控制的、可以 code review 的文字檔案。
這個設計選擇直接消除了 ClawHub 類型的供應鏈攻擊向量:
| 攻擊向量 | OpenClaw (ClawHub) | Claude Code |
|---|---|---|
| 惡意 skill/plugin | 12% 惡意率 | 不適用 — 沒有 marketplace |
| 自動核准第三方程式碼 | 是 | 否 — skills 是 .md 檔案 |
| 供應鏈攻擊 | 高風險 | 不適用 |
| 程式碼審查可能性 | 困難(混淆) | 容易(純文字) |
設計上的暫時性
OpenClaw 以常駐 daemon 運行,監聽 WebSocket 連線,維護長期 session。這創造了持久的攻擊面。
Claude Code 的架構完全不同:
- 在 terminal 中以用戶權限運行 — 不提權,不要求 root
- 沒有常駐 daemon — 關閉 terminal,session 結束
- 沒有 gateway port — 沒有網路監聽,不可能從外部連入
- 沒有 WebSocket — 消除了 CVE-2026-25253 類型的攻擊
- 沒有預設的
0.0.0.0綁定 — 不會意外暴露在公網上
每個 session 是暫時的。沒有長期運行的進程,就沒有長期的攻擊面。這是一個根本性的架構差異。
MCP Server 隔離
Claude Code 的 MCP(Model Context Protocol)servers 在獨立 process 中運行。每個專案透過 .mcp.json 明確配置需要的 MCP servers。
關鍵安全特性:
- 不自動發現 plugin — 不會從不信任的來源自動載入 MCP server
- 每個專案獨立配置 — 專案 A 的 MCP server 不會影響專案 B
- Process 隔離 — 一個 MCP server 崩潰或被攻擊,不影響其他 server
取捨:少一些「魔法」,多一些控制
公平地說,Claude Code 的安全模型有代價。
OpenClaw 之所以受歡迎,部分原因是它的「魔法」體驗:安裝一個 skill,它就自動連接你的 Gmail、GitHub、Slack,幫你完成複雜的跨平台工作流程。這很強大,也很方便。
Claude Code 選擇了不同的路。你需要明確配置每一個整合。你需要在每個敏感操作前確認。你的 skills 是需要自己維護的文字檔案,不是一鍵安裝的 plugin。
這意味著更多的設定工作,更少的「開箱即用」體驗。
但看看 OpenClaw 過去幾個月的安全事件清單 — ClawHub 12% 惡意率、135,000+ 暴露實例、$450K 加密貨幣被盜、Meta 主管信箱被清空 — 你會開始理解為什麼「不方便」有時候是一個特性,不是缺陷。
架構差異總覽
| 維度 | OpenClaw | Claude Code |
|---|---|---|
| Plugin 來源 | Marketplace(12% 惡意率) | 本地 .md 檔案 |
| 權限模型 | 一次授權,永久信任 | 每個動作獨立確認 |
| 運行方式 | 常駐 daemon + WebSocket | 暫時性 terminal session |
| 網路暴露 | 預設 0.0.0.0(40K+ 暴露) | 無網路監聽 |
| 憑證儲存 | 明文 markdown/JSON | 不儲存(依賴環境變數) |
| 安全護欄 | 平台審核 | 用戶定義 hooks |
| 第三方整合 | 自動連接 | 明確配置 |
| 攻擊面 | 持久(daemon + port + session) | 暫時(process 生命週期) |
結論
OpenClaw 不是一個糟糕的工具。它解決了真實的問題,有龐大的社群支持。
但它的安全模型建立在幾個危險的假設之上:marketplace 審核是有效的、用戶理解他們授予的權限、sandbox 能防止濫用、長期運行的 daemon 是安全的。過去幾個月的事件證明了每一個假設都有問題。
Claude Code 沒有做出這些假設。它的架構從一開始就把「用戶控制」放在「使用便利」之前。每個動作需要同意。每個 session 是暫時的。沒有 marketplace,沒有 daemon,沒有預設的網路暴露。
這不是完美的安全 — 沒有任何系統是完美的。但當你把兩種架構放在一起看,你會看到兩種根本不同的信任模型。一種信任平台和自動化;另一種信任用戶的判斷和明確的控制。
在 AI agent 越來越強大的時代,後者看起來越來越像是正確的選擇。