OpenClaw存在漏洞攻擊鏈Claw Chain，攻擊者可用於竄改組態並植入後門

資安漏洞與攻擊風險

資安公司Oasis Security近日向OpenClaw通報高風險資安漏洞ClawJacked，指出只要使用者瀏覽攻擊者的網站就可能觸發，過程無須使用者進行其他互動，顯示其風險極高。

OpenClaw採用多層架構，從IM集成網關到智能體層再到執行層，每一層皆存在漏洞。攻擊者可透過偽造訊息繞過身份認證，並透過多輪對話篡改AI行為模式，進而導致系統被惡意控制。

攻擊者可利用提示注入與工具鏈缺陷繞過防護，甚至透過環境變數汙染導致憑證外洩。受害者可能遭受API金鑰、聊天記錄與憑證外洩，部分個案導致帳單暴增或系統被完全控制。

OpenClaw已在2026年4月20日版本修補相關漏洞，並針對提示注入與環境變數汙染問題進行更新。然而，由於該平臺仍廣泛使用，且多數使用者未及時更新，仍存在被駭客攻擊的風險。

中國資安單位與國際資安機構已針對OpenClaw提出警告，指出其作為AI生態的一部分，若權限設定不當，可能成為駭客攻擊的入口，並引發資訊外洩與系統被接管等嚴重後果。