OpenClaw 再爆資料外流與 Prompt Injection 風險，開源代理狂熱開始進入信任清算期

OpenClaw 在 3 月中旬迎來第二波真正的壓力測試。根據 The Hacker News 與多家媒體整理的資訊，CNCERT 對 OpenClaw 的安全風險發出提醒，內容指向的不是單一 bug，而是一整組典型代理問題: 間接 prompt injection、預設安全性不足、權限過大、以及資料可能被外流。這些問題如果放在普通聊天機器人上，風險已經不小；若放在一個主打長時間執行、可連接工具與應用、能替使用者行動的代理身上，風險會放大很多倍。

報導裡最能說明問題的例子，是 PromptArmor 展示的 link preview 攻擊路徑。當代理替使用者預覽或抓取惡意網址時，若沒有清楚的來源隔離與資料傳輸限制，系統就有可能被引導把不該送出的資訊帶出去。這和單純被誤導回答問題不同，它碰到的是資料流與權限邊界，也就是代理產品真正最難做對的地方。

這也說明為什麼 OpenClaw 的爭議，不該只被理解成「熱門專案長太快所以出包」。更準確地說，它揭露的是永遠在線、會主動工作、會持續學新技能的代理模式，本來就把風險放在前台。只要它能看你的檔案、讀你的訊息、幫你點選或串接服務，就不能再用傳統聊天產品的寬鬆標準來看待。

更值得注意的是，代理熱潮原本還只是抽象的信任裂痕，到了這一波安全疑慮已經被具體化了。問題已不只是使用者覺得它有點不可靠，而是研究人員已經指出哪種路徑會讓它把資料送錯地方。

同時，這也和大型平台近來把代理安全逐步制度化形成強烈對比。一邊是資源更充足的團隊把紅隊、審計與合規慢慢做成正式流程，另一邊則是開源代理在高成長中暴露出最典型的流程弱點。這不是要說開源一定做不好，而是說代理產品一旦進入真實任務，就必須支付安全工程的成本，不可能只靠社群熱度與功能炫技撐下去。

OpenClaw 的困境也很有代表性，因為它代表一種很吸引人的願景: local-first、always-on、跨工具、像私人助理一樣主動工作。這種想像非常迷人，也的確比單輪聊天更接近大家想像中的「個人 AI 作業系統」。但願景越大，權限越大，失手時的代價也越高。只要安全預設稍微鬆一點，整個產品定位就會從助理變成風險入口。

現在市場會開始更現實地問三個問題。第一，代理能不能清楚區分資料來源與指令來源。第二，高風險動作是不是一定有可審核、可阻擋、可回滾的節點。第三，預設設定到底是偏向方便還是偏向安全。這三題答不清楚，再聰明的代理都很難建立大規模信任。

所以 OpenClaw 這波新聞真正重要的地方，不是某個 exploit 名稱，而是它提前替整個代理產業完成一次現實教育。接下來會活下來的，不會只是反應最快、功能最多的專案，而是能把權限、資料流和人類確認做進產品底層的團隊。代理想成為日常工具，信任不是加分項，而是入場券。