防堵AI代理工具「龍蝦」變資安破口：資安署揭露系統性風險與五大防護策略

AI代理工具潛藏資安危機：資安署揭露系統性風險

根據數位發展部資安署最新報告指出，具備自主執行能力的 AI代理工具，例如近期備受關注的開源專案 OpenClaw（俗稱「龍蝦」），雖然大幅提升了日常自動化任務的效率，卻也因其極高的系統權限與24小時自主運作特性，潛藏著嚴重的 資安破口 風險。資安署嚴正提醒，若未妥善設定防護機制，駭客極可能透過這些工具入侵個人主機與企業網路，導致使用者個資、機敏資訊如帳號密碼及金融資料等嚴重外洩，進而引發身分冒用與財產損失的重大風險。因此，導入此類工具時，務必落實資安防護與環境隔離。

數據發現：ClawJacked漏洞揭示AI代理的架構性弱點

資安署進一步分析，AI代理工具的資安風險並非單一漏洞問題，而是涉及架構層面的系統性風險。據 Oasis Security 研究人員揭露的 ClawJacked 漏洞（CVE-2026-25253） 顯示，攻擊者僅需誘導使用者瀏覽惡意網頁，就能在不觸發瀏覽器安全警報的情況下，對AI代理的管理員權限進行暴力破解。此一嚴重漏洞已於 2026 年 1 月 29 日 修補，但其存在本身，便足以證明這類工具在設計上的潛在風險。這項發現凸顯了AI代理在與外部環境互動時，其內建的安全防護機制可能仍有不足之處，需要使用者與開發者共同提高警覺。

數位發展部資安署強調：「AI代理的資安風險並非單一漏洞問題，而是涉及架構層面的系統性風險。」這句話精準點出了問題的核心，提醒我們不能僅修補表面，更要從根本思考防護之道。

三大威脅情境：惡意指令、技能包與記憶遺失

在評估AI代理工具的潛在風險時，資安署特別點出以下三類資安威脅情境，值得各界高度關注：

• 惡意指令隱藏於外部網頁： AI代理在瀏覽外部網頁或讀取社群留言時，若內容中暗藏攻擊者預埋的惡意指令，AI代理有可能在不知情的情況下，執行如刪除檔案、竄改系統設定等危險操作。這就像是讓一個高度自治的機器人，在毫無防備下閱讀了帶毒的訊息。
• 第三方技能包暗藏惡意程式： AI代理可透過安裝「技能」（Skill）擴充來執行複雜任務。然而，網路上已有開放平台供使用者分享自製擴充包，攻擊者可將惡意行為指令寫入其中，偽裝成正常技能上架。一旦使用者安裝，即可能被植入後門或惡意程式，形同在自家電腦裝上了不明裝置。
• 長時間運作導致安全守則遺失： 由於AI代理處理的資訊量有限，長時間運作後會自動壓縮早期內容以騰出空間。在這個過程中，原本設定好的安全規則與權限設置可能被刪減，導致AI代理逐漸「忘記」哪些事不該做，最終產生失控行為。這就像一個學習型機器人，在不斷學習新知的同時，卻可能忘記了最基本的安全規範。

數據背後的啟示：資安署五大實務防護策略

面對AI代理工具帶來的創新與挑戰，資安署建議各界在評估與導入時，應提高警覺並落實下列五項實務措施，以築牢 資安防護 網：

1. 落實環境隔離： 避免將AI代理安裝於存放機密資料或日常作業的環境。應將其部署於全新、已格式化的獨立電腦，或是專屬的虛擬機（Virtual Machine）或容器（Container）中，以此進行有效的風險管控。這一步驟是建立一道堅實的防火牆，確保即便代理工具受損，也不會波及核心資產。
2. 外部帳號權限最小化： 為AI代理註冊專屬的獨立帳號，包含專用電子郵件及社群平台帳號。切勿將個人日常使用的帳號與密碼直接提供給AI代理。若代理工具必須登入外部服務，建議設定具有時效性的臨時授權憑證，時間一到權限即自動失效，避免日後因疏於管理而導致帳號遭竊。
3. 設置人類審核機制： 針對高風險操作，如存取憑證、發送郵件或執行系統指令，應於系統設定中強制啟用人工審核。要求每次執行前必須經由人員手動確認方可放行，確保AI代理不會在無人監督下執行敏感操作。
4. 親自審查Skill擴充套件： 在安裝任何第三方技能擴充套件前，務必對其內容說明與程式碼進行完整的安全掃描。若發現內容中有要求下載不明檔案、連線至不明網站等可疑行為，應立即停止安裝並向平台檢舉，同時企業用戶應於組織內部進行資安通報。
5. 將安全守則寫入「長期記憶」： 定期審閱並備份AI的長期記憶檔。務必將重要的安全限制（例如刪除郵件前必須經過人員同意）直接寫入「核心記憶檔案」（如OpenClaw的MEMORY.md）中，確保每次運作時都會強制載入安全守則，避免因記憶壓縮而遺忘設定好的防護設定。

數位發展部資安署再次強調：「AI代理技術能帶來顯著的創新效益，但須在『環境隔離』、『人工審核』的前提下進行測試與應用，方能兼顧數位發展與資訊安全。」