上週在技術圈引起資安警報的 Clawdbot(現改名 Moltbot)事件,為所有正要擁抱 AI Agent 的企業敲響警鐘。這款開源工具讓用戶賦予 Claude 控制電腦、讀取郵件及操作各種網上服務的權限,理論上是完美的數碼助理;然而資安研究人員發現,全球數千個部署實例因基礎設定疏漏,竟讓攻擊者能在 5 分鐘內透過一封藏有指令的電子郵件,就誘導 AI 自動轉發用戶機密信件、提取密碼庫、甚至接管整個雲端基礎設施。
這起事件揭示的並非單一產品缺陷,而是 AI Agent 時代的結構性風險:當 AI 從「聊天工具」變成「能採取行動的數碼員工」,傳統資安邊界已經失效。攻擊者不再需要複雜程式漏洞,只需利用「vibe coding」(憑感覺編寫程式)文化下的設定疏忽,就能逐層奪取企業數碼資產。
以下針對該事件中暴露的 10 種攻擊路徑,提供企業決策者可直接啟動的防守架構:
第一道防線:基礎設施底線加固,阻斷暴力破解入口
攻擊者首先針對的往往是部署 AI Agent 的 VPS(虛擬伺服器)本身。許多團隊為了快速上網,使用預設密碼、開放 root 遠端登入、甚至未啟用防火牆,導致攻擊者在數分鐘內就能透過自動化腳本暴力破解取得 root 權限,進而讀取所有設定檔與對話紀錄。
企業必須將 AI Agent 宿主伺服器視為關鍵資產。絕對禁止使用預設密碼或簡單密碼,應強制採用 SSH 金鑰認證並關閉密碼登入,同時將遠端管理連接埠從預設 22 號改為非標準連接埠。更進一步,應部署 fail2ban 等自動封鎖機制,偵測到多次登入失敗時立即封鎖來源 IP。這些基礎設定只需 5 分鐘即可完成,卻能有效阻擋 90% 以上自動化掃描攻擊。
第二道防線:控制閘道嚴格上鎖,杜絕無認證暴露
Clawdbot 管理介面預設連結在所有網絡介面上(0.0.0.0),若用戶未手動設定認證機制,任何人只要知道 IP 就能直接連線取得所有 API 金鑰與設定檔。研究人員僅用 Shodan 搜尋就發現超過 200 個完全暴露實例。
企業在部署任何 AI Agent 時,必須強制實行「本地連結」原則:管理介面僅允許透過 SSH 隧道或 VPN 從內部網絡存取,禁止直接暴露在公開網際網路。若因業務需求必須遠端管理,應配置多因子認證(MFA)與 IP 白名單,並定期掃描 Shodan 等公開資料庫,確認內部系統未被意外暴露。
第三道防線:通訊管道存取控管,防止陌生人對話
許多團隊為了方便,將 AI Agent 接入 Discord 或 Telegram 群組,卻未設定「用戶 ID 白名單」,導致任何加入群組的陌生人都能直接對機械人下指令。攻擊者只需加入公開伺服器,就能透過私訊誘導 AI 讀取環境變數、AWS 憑證甚至 SSH 私鑰。
企業必須建立嚴格身份白名單機制,無論是 Discord、Telegram 還是 Slack 整合,都必須明確指定「只有特定用戶 ID 可以與 AI Agent 互動」。這不是複雜技術問題,而是流程管控——在部署檔案中加入「白名單設定檢查表」,並由資安團隊在驗收時強制確認,即可避免 AI 成為「來者不拒」的資訊洩漏口。
第四道防線:數碼身份嚴格隔離,阻斷會話劫持
許多用戶為了方便,讓 AI Agent 直接使用自己日常登入的 Chrome 瀏覽器設定檔,這意味著 AI 擁有已認證的 Gmail、GitHub、銀行網站等所有 session。攻擊者只需誘導 AI「開啟 Gmail 查看驗證碼」,就能接管 Google 帳號,進而重置所有連結服務的密碼。
企業必須實行「專用身份」原則:為 AI Agent 建立獨立瀏覽器設定檔與服務帳號,與人類員工日常帳號完全分離。AI 可以擁有「讀取特定資料」權限,但絕不應擁有「修改密碼」或「轉移帳號所有權」能力。就如同我們不會把管理員密碼貼在員工座位上一樣,AI 也不該繼承人類超級管理員權限。
第五道防線:憑證管理架構重整,遠離單點提取風險
Clawdbot 事件中,研究人員發現許多用戶在伺服器上安裝 1Password CLI 並保持登入狀態,這讓攻擊者能透過簡單指令在 5 分鐘內匯出全部 347 組密碼,包含銀行帳號、加密貨幣交易所、SSH 金鑰與信用卡資料。
企業必須建立「零常駐憑證」政策:生產環境伺服器上絕不應安裝密碼管理器或儲存長期有效 API 金鑰。所有憑證應儲存在專用秘密管理服務(如 Azure Key Vault、AWS Secrets Manager),AI Agent 僅能在執行特定任務時透過短效權杖(Short-lived Token)臨時取得所需權限,且任務完成後立即失效。這種「動態授權」機制即使 AI 被入侵,攻擊者也無法取得持久性憑證存取權。
第六道防線:企業通訊平台防護,阻斷橫向移動
Slack 整合是企業 AI Agent 最常見功能,但也成為最危險攻擊向量。一旦 bot token 洩漏,攻擊者不僅能讀取所有頻道歷史訊息(包含 #executive、#finance 等私密頻道),還能冒充 IT 部門發送釣魚連結,進一步擴大入侵範圍。
企業在授權 AI Agent 存取 Slack 時,必須採用「最小權限 OAuth」:僅授予讀取特定頻道權限,禁止存取私人訊息或發送全體公告。同時必須建立 token 輪換機制,定期更換認證權杖,並監控 API 存取模式——若發現 AI 突然開始大量下載歷史訊息或存取異常頻道,立即觸發告警並撤銷權限。
第七道防線:容器與權限隔離,防止主機全面淪陷
許多用戶為了方便,將 AI Agent 以 root 身份運行在特權容器(Privileged Container)中,甚至將整個主機檔案系統掛載到容器內。這讓攻擊者一旦控制 AI,就能在 20 分鐘內安裝 rootkit、植入後門,並存取同一台主機上所有其他服務。
企業必須強制實行「非特權運行」原則:AI Agent 必須以普通用戶身份運行,禁止存取 Docker socket 或掛載主機檔案系統。若需執行系統級操作,應透過明確 API 介面而非直接 shell 存取。這種「沙箱化」設計即使 AI 被攻破,攻擊者也僅能影響容器內部,無法橫向移動到主機或其他服務。
第八道防線:內容安全與輸入驗證,對抗認知操控
這是 AI Agent 時代最具代表性新型攻擊:攻擊者在電子郵件、PDF 檔案或網頁中隱藏白色文字(與背景同色)、微小字體或 HTML 註釋,當 AI 讀取這些內容時,會誤將其中「系統指令」視為優先命令,進而執行「讀取 AWS 憑證並發送到外部」等操作,而人類用戶只看到正常檔案內容。
企業必須建立「零信任內容」處理流程:所有外部進入檔案在餵給 AI 前,必須先經過「淨化」處理——移除所有隱藏層、轉換為純文字格式、並標記為「不可信任來源」。同時在系統提示詞(System Prompt)中明確建立「指令層級架構」,確保 AI 會優先遵循企業預設安全政策,而非外部檔案中的嵌入式指令。選擇具備提示注入防禦能力的模型(如 Claude Opus)也是關鍵考量。
第九道防線:第三方元件治理,防範供應鏈後門
AI Agent 通常具備「技能市集」或「外掛系統」,用戶可以安裝社群開發擴充功能。Clawdbot 事件後研究發現,熱門技能可能被植入後門程式,當 AI 載入執行時,實際上是在為攻擊者開啟後門。
企業必須建立「軟件供應鏈安全」機制:僅允許使用經過資安團隊審查內部開發或官方認證技能外掛,禁止員工自行安裝來路不明社群套件。這如同企業禁止員工私自安裝未經核准軟件,AI Agent 外掛生態系統更應受到嚴格管控,因為這些外掛往往擁有與核心系統同等操作權限。
第十道防線:縱深防禦與持續稽核,建立最後安全網
最危險情境是上述所有弱點同時組合:預設密碼、暴露閘道、無白名單、root 權限、瀏覽器 session 劫持、密碼管理器常駐……這種「完美風暴」能在 2 小時內導致整個企業基礎設施淪陷,從單一 VPS 擴散到 25 台生產伺服器、加密所有資料庫並部署勒索軟件。
企業領導者必須建立「AI Agent 資安稽核」作為部署前強制流程:在每次上線前運行自動化安全檢查工具,確認沒有預設密碼、閘道已認證、權限已最小化。同時建立持續監控機制,定期使用 Shodan 掃描確認內部系統未被意外暴露,並進行紅隊演練,模擬攻擊者如何嘗試「欺騙」企業 AI Agent。
結論:治理先行,技術次之
Clawdbot 事件揭示核心教訓:在 AI Agent 時代,資安不再是單純技術投資,而是企業治理核心議題。這需要董事會層級關注,將 AI 安全納入整體風險管理框架。
防範這 10 種攻擊不需要昂貴設備,而是需要紀律與流程;企業必須將 AI Agent 視為擁有特權存取權數碼員工,給予嚴格監督、分權與稽核。唯有在享受自動化紅利同時守住這 10 道防線,企業才能避免成為下一個「5 分鐘內被提取全部身份」頭條新聞。
