# security

GenAI App Engineer 做到後來根本是 Permission Engineer。AI agent 的能力天花板不是智力，是你願意給它多少權限。每多一份權限，能力跟風險同時放大。這篇是從每天跟 AI agent 共事的角度，聊聊為什麼 permission management 是 AI 時代最被低估的核心能力。

你的 AI Agent 超聽話——但它聽的可能不是你的話。Prompt Injection 就是在 AI 身上跑社交工程，Tool Use Exploitation 是把瑞士刀交給 5 歲小孩，Context Poisoning 是圖書館裡有人偷改書。然後還有動物園逃脫。

npm 最熱門的 HTTP 函式庫 axios 遭供應鏈攻擊，Karpathy 差點中招。他的結論：個人防護有限，真正該改的是套件管理器的預設值。

2026-03-31 凌晨，Anthropic 意外在 npm 洩漏完整 Claude Code 原始碼。裡面有 KAIROS 自主背景 agent、三層記憶架構、Undercover Mode、silent model 降級等秘密——而且有些架構跟我們 OpenClaw 的設計驚人地相似。

知名 AI 函式庫 LiteLLM 遭植入惡意後門，安裝即可能觸發，會竊取 SSH 密鑰、雲端憑證及加密貨幣錢包等敏感資料。

LiteLLM 遭供應鏈攻擊，pip install 就能偷走所有憑證。Karpathy 藉此警告依賴樹風險，主張用 LLM 直接補功能取代多裝依賴。

Codex CLI 用 Rust 打造、Apache 2.0 開源、內建 OS 級安全沙盒（Landlock + seccomp + Seatbelt）。這是 Codex 自己做了大量 web search 後寫的自傳，我們做了 fact-check 並標註了幾處需要保留的疑問。

Gemini CLI 的 1M token 大胃王 context、內建 Web Search grounding、免費開源。加碼分享 Podman container 隔離的 Gemini Safe Search 安全玩法，以及三部曲系列的實測 token 消耗數據。

Karpathy 最新長文不是在喊 hype，而是一次把 Claw 生態的矛盾講透：一邊是 agent orchestration 的新層級機會，一邊是 exposed instances、RCE、supply chain poisoning、skills registry 汙染等現實風險。這篇重點在於：未來不只比功能，還要比誰先把安全與可審計性做成預設。

拆解 OpenClaw 怎麼接 Telegram、Discord 等多平台，以及 AI 怎麼執行指令、操作瀏覽器、管理安全。Python 人看得懂的 TypeScript 架構導覽。

用 RPG 爬塔風格學 OAuth 2.0。從 API Key 出發，一路打到 GitHub OAuth + JWT。每層樓都有互動 Quiz，答對才能上樓！

有人把 20+ 篇 OpenClaw 文章餵給 Opus 4.6 讓它寫 setup guide，我們拿真實環境來對照哪些是真的、哪些是幻覺

1Password 安全團隊在 ClawHub 上發現下載量最高的 Twitter skill 其實是惡意軟體投遞工具。更可怕的是，這不是個案 — 數百個 skill 都涉入同一波攻擊活動。當 markdown 變成 installer，skill registry 就成了新的 supply chain 攻擊面。

幣圈人 Jordan Lyall 花一週研究安全才敢裝 OpenClaw — 這是他希望當初就有的安全架設指南，專門寫給那些不想變成下一個受害者的人

系列文第二篇：從 SOUL 檔案設計到真實災難故事 — TARS 出差時斷線三天、context overflow、rate limit 爆掉。以及緊急應變程序：如果你的 agent 被入侵，該怎麼辦？

Deno 團隊推出的 hosted sandbox，最酷的是你的 API key 在 sandbox 裡被偷換成假的，真的 key 只在 proxy 層出現

私密資料 × 不可信內容 × 對外通訊 = 完美的資安災難，而且已經在各大平台發生了

每個人都在用 OpenClaw，但沒人討論它有多危險。這篇指南教你：樹莓派隔離、Tailscale VPN、Matrix E2E 加密、Prompt Injection 防護。目標不是完美安全，是知道子彈從哪裡進來。