▲資安機構Cisco警告,AI代理工具具備多系統存取權限,極易繞過傳統防護機制,成為駭客眼中完美的「特洛伊木馬」。(圖/Pxhere)
記者楊庭蒝/綜合報導
近期標榜能自動操作電腦、訂票及處理郵件的AI代理工具OpenClaw(原名Moltbook/Clawdbot)引發全球資安圈高度戒備。這類工具雖能大幅提升生產力,卻因權限過度擴張與技術漏洞,導致大規模個資外洩,迫使官方緊急聯手Google尋求止血方案。
根據最新調查,OpenClaw社群平台Moltbook因資料庫設定疏失,導致高達150萬組API驗證權杖、3.5萬筆Email及私訊內容在網路上處於全公開狀態。此外,其擴充功能市集ClawHub中有約7.1%的技能存在嚴重漏洞,甚至會將使用者憑證以明文記錄。資安機構Cisco警告,這類AI代理具備多系統存取權,極易繞過傳統DLP防護,成為駭客眼中完美的特洛伊木馬。
[廣告]請繼續往下閱讀...
面對信任崩盤,創辦人PeterSteinberger宣布與VirusTotal達成戰略合作,透過CodeInsight功能為每個技能建立SHA-256雜湊值並進行每日複檢。然而,官方坦承部分駭客利用「提示注入」技術仍可能繞過掃描。除了技術漏洞,更令企業不安的是「影子AI(ShadowAI)」現象,許多員工在未經IT部門核准下私自部署AI助理,卻忽略這類AI等同於擁有高權限的「內部虛擬帳號」。
專家強調,AI事故的核心問題往往在於管理制度跟不上技術應用。企業若在未釐清權限授權與責任歸屬前就盲目導入,這把標榜效率的「萬用鑰匙」,隨時可能轉變為替駭客開門的自動化武器。成熟的企業應在追求效率紅利的同時,優先落實AI治理機制。
