-
<p><span><span><span><span><span>OpenClaw 是近期快速普及的開源 AI 代理平台,主打可自託管(self-hosted)、可透過 skills 擴充能力,並可與本機環境及外部服務整合。官方文件顯示,ClawHub 是 OpenClaw 的公開 skill registry,用戶可透過該平台搜尋、安裝、更新及發佈 skills,而 skills 一般以 SKILL.md 及相關支援檔案構成。官方亦明確提醒,第三方 skills 應被視為不受信任程式碼(untrusted code)處理。</span></span></span></span></span></p>
<p>&nbsp;</p>
<p><span><span><span><span><span lang="ZH-TW">隨着</span><span> OpenClaw 生態快速擴張,公開研究及多家媒體報道亦持續指出其相關安全風險,包括惡意 skills 供應鏈投毒、假冒安裝專案及搜尋結果投毒等攻擊手法。此外,網安研究人員亦曾披露一宗已修補的高嚴重性漏洞,可令惡意網站在無需外掛、瀏覽器擴充功能或使用者互動的情況下接管 OpenClaw 代理。</span></span></span></span></span></p>
<p>&nbsp;</p>
<p align="center"><img alt="" class="respon-img" src="/preview/f/blog/914277/918806/0p0/openclaw.png" /></p>
<p align="center"><span><span><span><span><span>(圖片由生成式AI創建,並經人類專業監督及審核。)</span></span></span></span></span><span><span><span><span><span></span></span></span></span></span></p>
<p align="center">&nbsp;</p>
<p><span><span><span><span><span><span>OpenClaw 受到關注,原因在於它並非一般只提供文字回應的聊天式 AI 工具,而是一類可在本機或伺服器上運行、並可透過 skills 及工具與外部環境互動的 AI 代理平台。官方文件顯示,OpenClaw 支援以工作區技能(workspace skills)、本機技能及 bundled skills 等形式載入能力擴充元件,而 ClawHub 則作為公開技能註冊中心,提供 skills 的搜尋、下載、安裝、更新及發佈功能。</span></span></span></span></span></span></p>
<p>&nbsp;</p>
<p><span><span><span><span><span lang="ZH-TW">根據官方文件,</span><span>skills 通常由 SKILL.md 及其他支援檔案組成,用於向代理提供特定功能、工具定義或操作指引。官方亦在安全說明中提醒,用戶應把第三方 skills 視作不受信任程式碼,並建議在面對不受信任輸入或高風險工具時採用隔離或沙箱化運行方式。</span></span></span></span></span></p>
<p>&nbsp;</p>
<p><span><span><span><span><span lang="ZH-TW">這種開放式擴充生態有助</span><span> OpenClaw 快速建立功能網絡效應,但同時亦擴大了第三方元件帶來的供應鏈風險。有報道指出,OpenClaw 已與 VirusTotal...
-
於 Debian Linux 內核發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務狀況、權限提升及洩露敏感資...
影響
阻斷服務
資料洩露
權限提升
受影響之系統或技術
Debian bookworm 6.1.164-1 以前的版本
Debian stable 6.12.74-2 以前的版本
解決方案
...
-
於微軟 Edge 發現一個漏洞。遠端攻擊者可利用此漏洞,於目標系統觸發遠端執行任意程式碼、繞過保安限制及資料篡...
影響
遠端執行程式碼
繞過保安限制
篡改
受影響之系統或技術
Microsoft Edge 146.0.3856.62 之前的版本
解決方案
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
安裝軟件供應商提供的修補程式:
更新至 146.0.3856.62 或之後版本
-
於Microsoft產品發現一個漏洞。遠端攻擊者可利用這個漏洞,於目標系統觸發洩露敏感資料及篡改。
影響
資料洩露
篡改
受影響之系統或技術
Microsoft Office:
Excel (iOS, Android)
Word (iOS, Android)
PowerPoint (iOS, Android)
Outlook (iOS, Android, Mac)
OneNote (iOS, Android)
Teams (iOS, Android)
Loop (iOS)
Microsoft 365 Apps:
Copilot (iOS, Android)
Microsoft Power BI:
Power BI (iOS,...
-
於 Microsoft Edge 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發遠端執行任意程式碼、阻斷服務狀況、繞過保...
影響
遠端執行程式碼
繞過保安限制
仿冒
阻斷服務
資料洩露
...
-
於思科 IOS XR 發現多個漏洞。遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務狀況及遠端執行任意程式碼。
影響
阻斷服務
遠端執行程式碼
受影響之系統或技術
Cisco IOS XR
請參考供應商發佈的連結以了解受影響的設備:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-privesc-bF8D5U4W
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-isis-dos-kDMxpSzK
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-xrncs-epni-int-dos-TWMffUsN
解決方案
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
安裝供應商提供的修補程式:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-privesc-bF8D5U4W
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-isis-dos-kDMxpSzK
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-xrncs-epni-int-dos-TWMffUsN
