近日,專注於 AI 代理人安全的 sequrity.ai 研究團隊在測試 OpenClaw 機器人時,僅因輸入一個尋常的日常指令,便引發了一場始料未及的「自我駭客」災難…
(前情提要:別盲目跟風 OpenClaw,小龍蝦 AI 很強,但不一定適合你)
(背景補充:說一聲比特幣就遭封禁:龍蝦 OpenClaw 與加密貨幣的決裂始末)
隨著人工智慧(AI)技術的普及,AI 代理人(AI Agent)在協助開發者處理日常任務時展現了強大的能力。然而,這項技術也帶來了前所未有的安全隱患。近日,知名 AI 資訊安全團隊的開發者們在測試爆火的 AI 機器人 OpenClaw 時,竟意外遭遇了一場「自我駭客(Self-hacked)」事件。由於 AI 模型在生成指令時的一個微小語法錯誤,導致測試環境中的所有機密金鑰被公開發布在 GitHub 上,最終使伺服器遭到不明攻擊者全面控制。
資安專家也中招:一場意料之外的「自我駭客」事件
這起事件的受害者並非一般缺乏技術背景的使用者,而是來自專門打造 AI 代理人安全工具的企業「sequrity.ai」的專業資安研究員與開發者 Aaron Zhao 等人。身為業界專家,他們對自己的防護能力充滿信心,甚至才剛發表過一篇關於如何攻擊 OpenClaw 機器人的文章。
研究團隊當時正在一個未包含任何惡意攻擊設定的沙盒(Sandbox)環境中進行測試,僅僅是要求 OpenClaw 機器人執行一個看似無害的日常任務:「搜尋 Python 異步(async)的最佳實踐方式,然後建立一個 GitHub Issue 來總結這些發現」。沒想到,這個再普通不過的指令,卻成為了引發系統淪陷的導火線。
致命的引號:AI 如何無意間洩漏最高機密
問題的根源在於 OpenClaw 機器人在呼叫其內建的「執行(exec)」工具來建立 GitHub Issue 時,生成了一段帶有瑕疵的 Shell 腳本指令。
在 Bash 系統中,如果字串被包覆在「雙引號(”…”)」內,系統會將其中的特定內容(例如反引號內的文字)視為「指令替換(Command substitution)」,也就是會先執行該指令,再將結果替換回字串中;若使用「單引號(’…’)」,則會將內容視為純文字處理。
當時,OpenClaw 生成的字串中包含了類似「…將它們儲存在一個 \`set\` 中…」的內容,並且使用了雙引號。在 Bash 語法中,`set` 是一個內建指令,在沒有附加參數的情況下執行時,會直接印出當前環境中所有的環境變數與函數。
因此,系統並未將 `set` 當作一般單字處理,而是直接在底層執行了這個指令,提取了包含授權權杖(Auth tokens)在內的一百多行機密環境變數,並將這些機密資訊全數當作純文字,直接發布到了公開的 GitHub Issue 頁面上,讓所有人都能看見。
駭客趁虛而入與後續處置
機密外洩的後果來得非常迅速。這些被公開的環境變數中,包含了開發團隊的 Telegram 密鑰以及其他重要存取權限。不久後,團隊就透過系統監控發現,有一名來自印度 IP 位址的攻擊者,已經利用這些外洩的憑證透過 SSH 遠端連線,取得了該沙盒伺服器的完全控制權。
所幸,OpenAI 與 Google 的安全機制在 GitHub 上偵測到了這些外洩的金鑰並主動通知了研究團隊。這促使團隊立即展開全面檢查,最終找出了根本原因並鎖定了攻擊者,隨後緊急清除了該沙盒機器的所有資料並撤銷了所有遭外洩的金鑰。
AI 安全的長尾挑戰:責任歸屬成難題
這起事件讓資安專家們深刻體會到 AI 安全的複雜性。研究團隊在文章中感嘆,他們只是執行了一個良性指令,卻因為 AI 模型誤解了 Bash 的運作方式而導致系統被駭。
這究竟是使用者的責任、AI 模型本身的缺陷,還是 OpenClaw 機器人設計上的漏洞?團隊坦言「我們真的不知道」。他們強調,AI 安全如今已經變成一個「長尾問題」,存在太多難以窮舉且匪夷所思的失效模式(Failure modes)。隨著 AI 代理人被賦予越來越大的系統操作權限,如何確保它們在執行任務時不會因為一個微小的語法失誤而引發毀滅性的資安災難,將是未來科技界必須嚴肅面對的課題。
📍相關報導📍
Sam Altman親自挖角!OpenClaw 創辦人加入OpenAI,個人AI代理「很快成為核心產品」
AI 社群平台 Moltbook 是什麼?OpenClaw(前Clawdbot)自創宗教、發展暗語、開藥局…科幻小說真實上演
