การศึกษาใหม่เตือนว่า Openclaw กำลังเผชิญกับความล่มสลายด้านความปลอดภัยแบบเป็นระบบ หลังจากนักวิจัยพบช่องโหว่ระดับวิกฤต ส่วนเสริมที่ติดมัลแวร์ และความเสี่ยงจากการโจมตีด้วยการแทรกพรอมต์ ซึ่งทำให้ผู้โจมตีสามารถขโมยข้อมูลหรือยึดระบบได้
ความเข้าใจผิดเรื่อง “สภาพแวดล้อมที่เชื่อถือได้”
การศึกษาเมื่อวันที่ 31 มีนาคมโดยบริษัทความปลอดภัย Web3 อย่าง Certik ได้เปิดโปงความ “ล่มสลายแบบเป็นระบบ” ของขอบเขตความปลอดภัยภายใน Openclaw ซึ่งเป็นแพลตฟอร์มปัญญาประดิษฐ์ (AI) แบบโอเพนซอร์ส แม้จะพุ่งขึ้นอย่างรวดเร็วไปสู่จำนวนมากกว่า 300,000 ดวงบน Github แต่เฟรมเวิร์กกลับสะสมมากกว่า 100 CVE และคำแนะนำด้านความปลอดภัย 280 รายการภายในเวลาเพียงสี่เดือนเท่านั้น ซึ่งสร้างสิ่งที่นักวิจัยเรียกว่า “พื้นผิวการโจมตีที่ไม่ถูกจำกัด”
รายงานดังกล่าวชี้ให้เห็นข้อบกพร่องเชิงสถาปัตยกรรมพื้นฐานว่าเดิมที Openclaw ถูกออกแบบมาสำหรับ “สภาพแวดล้อมภายในเครื่องที่เชื่อถือได้” อย่างไรก็ตาม เมื่อความนิยมของแพลตฟอร์มระเบิดขึ้น ผู้ใช้งานเริ่มนำมันไปติดตั้งบนเซิร์ฟเวอร์ที่เปิดสู่สาธารณะทางอินเทอร์เน็ต—a ซึ่งซอฟต์แวร์ไม่เคยถูกเตรียมไว้ให้รองรับการเปลี่ยนผ่านนี้
ตามรายงานการศึกษา นักวิจัยได้ระบุจุดล้มเหลวที่มีความเสี่ยงสูงหลายจุดซึ่งเป็นอันตรายต่อข้อมูลผู้ใช้ รวมถึงช่องโหว่ระดับวิกฤต CVE-2026-25253 ซึ่งทำให้ผู้โจมตีสามารถยึดอำนาจการควบคุมระดับผู้ดูแลทั้งหมดได้ โดยการหลอกให้ผู้ใช้คลิกลิงก์ที่เป็นอันตรายเพียงลิงก์เดียว แฮกเกอร์สามารถขโมยโทเค็นสำหรับการยืนยันตัวตนและเข้ายึดเอเจนต์ของ AI ได้
ขณะเดียวกัน การสแกนทั่วโลกพบ Openclaw ที่เปิดเผยต่ออินเทอร์เน็ตมากกว่า 135,000 อินสแตนซ์ใน 82 ประเทศ หลายแห่งถูกปิดการทำงานของการยืนยันตัวตนโดยค่าเริ่มต้น ทำให้ API keys, ประวัติการแชท และข้อมูลรับรองที่ละเอียดอ่อนรั่วไหลออกมาในรูปแบบข้อความธรรมดา รายงานยังยืนยันด้วยว่า โค้ดคลังของแพลตฟอร์มสำหรับ “ทักษะ” ที่ผู้ใช้แชร์ ถูกแทรกซึมด้วยมัลแวร์ และพบว่าส่วนเสริมหลายร้อยรายการเหล่านี้ถูกรวมมาพร้อมกับ infostealers ซึ่งออกแบบมาเพื่อดักขโมยรหัสผ่านที่บันทึกไว้และกระเป๋าเงินสกุลเงินคริปโท
ยิ่งไปกว่านั้น ตอนนี้ผู้โจมตีได้ซ่อนคำสั่งที่เป็นอันตรายไว้ในอีเมลและหน้าเว็บ เมื่อเอเจนต์ของ AI ประมวลผลเอกสารเหล่านี้ ก็สามารถถูกบังคับให้ดึงไฟล์ออกมา (exfiltrate) หรือสั่งงานที่ไม่ได้รับอนุญาตให้ทำงาน โดยที่ผู้ใช้ไม่รู้ตัว
“Openclaw กลายเป็นกรณีศึกษาว่าจะเกิดอะไรขึ้นเมื่อโมเดลภาษาขนาดใหญ่หยุดการถูกแยกให้อยู่เป็นระบบแชทแบบโดดเดี่ยว และเริ่มไปทำงานในสภาพแวดล้อมจริง” ผู้ตรวจสอบนำจาก Penligent กล่าว “มันไปรวมเอาข้อบกพร่องแบบซอฟต์แวร์คลาสสิกเข้ากับรันไทม์ที่มีอำนาจที่ถูกมอบหมายสูง ทำให้ผลกระทบจากบั๊กเพียงจุดเดียวมีขนาดมหาศาล”
การลดความเสี่ยงและคำแนะนำด้านความปลอดภัย
เพื่อตอบสนองต่อผลการค้นพบเหล่านี้ ผู้เชี่ยวชาญกำลังเรียกร้องให้ใช้แนวทาง “ความปลอดภัยมาก่อน” ทั้งสำหรับนักพัฒนาและผู้ใช้งานปลายทาง สำหรับนักพัฒนา การศึกษานี้แนะนำให้กำหนดโมเดลภัยคุกคามอย่างเป็นทางการตั้งแต่วันแรก บังคับใช้การแยกส่วน (sandbox) อย่างเข้มงวด และทำให้ซับโปรเซสที่ถูกสร้างโดย AI ทุกครั้งได้รับสิทธิ์แบบมีระดับต่ำเท่านั้น และเป็นสิทธิ์ที่ไม่สามารถเปลี่ยนแปลงได้ (immutable)
สำหรับผู้ใช้งานระดับองค์กร ทีมความปลอดภัยถูกกระตุ้นให้ใช้เครื่องมือการตรวจจับและการตอบสนองบนเอนด์พอยต์ (EDR) เพื่อค้นหาอินสแตนซ์ Openclaw ที่ไม่ได้รับอนุญาตภายในเครือข่ายของบริษัท ในอีกด้านหนึ่ง ผู้ใช้งานรายบุคคลได้รับการสนับสนุนให้รันเครื่องมือนี้เฉพาะในสภาพแวดล้อมที่ถูกแยก (sandboxed) โดยไม่มีการเข้าถึงข้อมูลสำหรับการใช้งานจริง (production data) ที่สำคัญที่สุด ผู้ใช้งานต้องอัปเดตเป็นเวอร์ชัน 2026.1.29 หรือใหม่กว่าเพื่อแพตช์ช่องโหว่การรันโค้ดจากระยะไกลที่ทราบอยู่แล้ว (RCE)
แม้ว่าเมื่อไม่นานมานี้ นักพัฒนา Openclaw ได้จับมือกับ Virustotal เพื่อสแกนทักษะที่ถูกอัปโหลด แต่ นักวิจัยของ Certik เตือนว่านี่คือ “ไม่ใช่ยาครอบจักรวาล” จนกว่าแพลตฟอร์มจะเข้าสู่ระยะความปลอดภัยที่เสถียรกว่านี้ ฉันทามติของอุตสาหกรรมคือให้ถือว่าซอฟต์แวร์ไม่เป็นที่เชื่อถือโดยธรรมชาติ (inherently untrusted)
คำถามที่พบบ่อย ❓
- Openclaw คืออะไร? Openclaw คือเฟรมเวิร์ก AI แบบโอเพนซอร์สที่เติบโตอย่างรวดเร็วไปสู่จำนวนดาวบน GitHub 300,000+.
- ทำไมมันถึงมีความเสี่ยง? มันถูกสร้างมาเพื่อการใช้งานภายในเครื่องที่เชื่อถือได้ แต่ตอนนี้ถูกนำไปใช้งานออนไลน์อย่างแพร่หลาย ทำให้เกิดจุดบกพร่องสำคัญหลายอย่าง
- มีภัยคุกคามอะไรบ้าง? CVE ระดับวิกฤต ส่วนเสริมที่ติดมัลแวร์ และอินสแตนซ์ที่เปิดเผยต่อสาธารณะ 135,000+ รายการใน 82 ประเทศ
- ผู้ใช้งานจะอยู่ปลอดภัยได้อย่างไร? ให้รันเฉพาะในสภาพแวดล้อมแบบ sandbox และอัปเดตเป็นเวอร์ชัน 2026.1.29 หรือใหม่กว่า
