隨著OpenClaw在2026年初的推出，讓AI應用環境出現翻天覆地的變化，這項AI代理應用框架提供強大的自主應用能力，擁有持久記憶，可執行指令、讀寫檔案並與外部API互動，但預設高權限自動執行的架構，也造成安全隱患，多個OpenClaw重大漏洞的揭露，以及一連串相關資安事件的爆發，促使各界關注AI代理應用框架的安全性問題。

AI應用新創公司Skywork近日發布報告，彙整2026年第1季發現的OpenClaw重大漏洞與修補建議，供使用者參考。當中較為嚴重的漏洞包括以下幾項：

CVE-2026-25253，CVSS嚴重性8.8分，可能導致攻擊者透過瀏覽器跳轉機制進而觸發遠端程式碼執行。

CVE-2026-32056，CVSS嚴重性8.8分，可能導致攻擊者透過環境變數繞過指令允許清單，執行任意指令。

CVE-2026-32846，CVSS嚴重性8.7分，可能導致攻擊者繞過沙箱驗證讀取任意檔案。

CVE-2026-32922，CVSS嚴重性9.9分，可能導致攻擊者透過權杖漏洞獲得完整管理者權限。

CVE-2026-33579，CVSS嚴重性9.9分，可能導致攻擊者取得完整管理者權限。

CVE-2026-41349，CVSS嚴重性8.8分，可能導致可能導致攻擊者執行未授權代理指令。

對於打算自行建置OpenClaw的用戶，Skywork建議必須使用2026.3.28以上版本，確保已修補CVE-2026-25253、CVE-2026-33579等漏洞，此外還須清理HOME、ZDOTDIR等環境變數，以緩解CVE-2026-32056漏洞，並透過config.patch參數，強制LLM代理執行前必須獲得用戶許可，藉此緩解CVE-2026-41349漏洞。