AI助理的危險遊戲：當便利遇上資安風險

數十萬個AI代理人正在網路上運行，它們能讀取你的郵件、管理行程，甚至代你購物。但如果有人能輕易劫持這些助理，讓它們洩露你的信用卡資訊或刪除硬碟資料，你還敢使用嗎？

這正是OpenClaw帶來的現實難題。這個由獨立工程師Peter Steinberger開發的開源工具，讓用戶能打造專屬的AI個人助理，卻也引發了資安專家的集體恐慌。

從GitHub到全球關注

2025年11月，Steinberger將OpenClaw上傳至GitHub。今年1月底，這個專案突然爆紅。與主流AI公司提供的助理不同，OpenClaw讓用戶選擇任何大型語言模型作為「駕駛員」，賦予其增強記憶能力和自動執行任務的功能。

更重要的是，OpenClaw代理人設計為24小時運行，用戶可透過WhatsApp等通訊軟體與其互動。想像一下：每天早晨收到個人化待辦清單、工作時AI幫你規劃假期、甚至在空閒時間開發新應用程式。

但這種便利性需要付出代價。要讓AI助理管理信箱，你必須提供郵件存取權限；要讓它代你購物，就得分享信用卡資訊；要讓它在電腦上執行任務，就需要開放本機檔案存取權。

三重安全威脅

資安專家指出OpenClaw面臨三大風險類型。首先是操作失誤：有用戶的Google Antigravity編程代理人意外清空了整個硬碟。其次是傳統駭客攻擊：攻擊者可能透過常見手法入侵代理人，竊取敏感資料或執行惡意程式。

但最令專家擔憂的是第三種威脅：提示注入攻擊（prompt injection）。這種攻擊手法本質上是「LLM劫持」——攻擊者只需在網站上放置惡意文字或圖片，或發送到AI會讀取的信箱，就能操控AI助理。

多倫多大學電機工程教授Nicolas Papernot形容：「使用OpenClaw就像把錢包交給街上的陌生人。」中國政府甚至發布公開警告，提醒民眾注意OpenClaw的安全漏洞。

防護機制的挑戰

「提示注入」一詞由知名LLM部落客Simon Willison在2022年提出，比ChatGPT發布還早幾個月。問題的核心在於：LLM無法區分來自用戶的指令和執行任務時使用的資料——對它們來說，這些都只是文字。

加州大學柏克萊分校電腦科學教授Dawn Song坦言：「我們目前還沒有萬無一失的防禦方法。」但學術界正積極研究三種策略。

第一種是訓練LLM忽略注入攻擊。透過後訓練過程，「獎勵」AI正確回應問題，「懲罰」錯誤行為。但過度訓練可能導致AI也拒絕用戶的合理請求。

第二種是事前攔截。使用專門的偵測器LLM判斷輸入資料是否含有惡意指令。然而最新研究顯示，即使是表現最佳的偵測器，也會完全漏掉某些類型的攻擊。

第三種是輸出控制。制定政策指導AI的行為，防止執行有害操作。但杜克大學電機工程教授Neil Gong指出：「挑戰在於如何準確定義這些政策。這是實用性與安全性之間的權衡。」

各方觀點分歧

面對何時能安全部署AI個人助理，專家意見分歧。Song認為現在就能安全部署，她的新創公司Virtue AI正開發代理人安全平台。但Gong認為「我們還沒準備好」。

OpenClaw的志願維護者George Pickett採取了一些防護措施：在雲端運行避免硬碟被刪除，設置機制防止他人連接其助理。但他坦承沒有針對提示注入採取特別行動：「也許我的想法很愚蠢，但我不太可能是第一個被駭的人。」

Steinberger本人建議非技術人員不要使用該軟體，並在上週的ClawCon活動中宣布已聘請資安專家加入團隊。