威脅行為者正積極利用 OAuth 的錯誤處理機制，將受害者誘導至 login.microsoftonline.com 和 accounts.google.com。藉由構建註定失敗的請求，攻擊者能實現無縫且靜默的重定向。

惡意授權請求剖析

偵測與防禦策略

• 監控錯誤代碼 65001： 在 Entra ID 登入日誌中審查 resultType = 65001，特別是來自未知應用程式 ID 的失敗請求。
• 限制使用者同意權限： 停用使用者對多租戶應用程式的授權，或將其限制在「經過驗證的發行者」。
• 分析 State 參數： 若電子郵件中的 OAuth URL 包含經過編碼的使用者電郵作為 state 參數，這是極高置信度的釣魚指標。

MITRE ATT&CK 技術對照

名稱衝突：合法 vs. 惡意

攻擊手法解析

此次攻擊遵循經典的特洛伊木馬模式：將惡意載荷包裝在一個高需求的生產力工具（Reddit 自動化）中。

• 規避掃描： 載荷透過受密碼保護的 ZIP 分發（密碼：1234），讓自動化掃描器無法運作。
• Mac 端執行： 使用 base64 -d | sh 指令直接將 Shellcode 注入核心執行。
• 社交工程： 安裝說明告知使用者「在啟動技能前『必須』執行 AuthTool.exe」，藉此建立該程式作為必要組件的信任感。

結論

對合法軟體進行詳盡的鑑識特徵比對是最好的防禦。資安分析師不應僅驗證檔名，還必須檢查雜湊值 (Hash)、執行路徑以及數位簽章的發行單位。

2026 年 2 月 19 日，INC 勒索軟體組織對託管環境發動了高速襲擊。本報告詳細說明了自動化 AI 如何跑贏對手，在無需人為干預的情況下確保 100% 的數據恢復。

威脅行為者概況

INC Ransom 採用雙重勒索模型，重點針對醫療、政府及 MSP 部門。他們偏好「真人實機」操作，而非單純的自動化腳本。

自動化防禦的優勢

在大規模部署波次中，威脅行為者企圖同時感染 36 台設備。SentinelOne 的行為引擎在不到半秒內觸發了六條偵測規則，並立即啟動了 回滾 (Rollback) 程序。

系統利用受保護的磁碟陰影複製，自動將每個受影響的檔案還原。其結果是：零數據損失、零業務中斷，以及將威脅行為者徹底驅逐出境。

代理型 AI (Agentic AI) 正在重塑攻擊面，它將身分、自動化與執行力壓縮成一個單一的受信任實體。對於中小企業而言，這些工具既是效率的飛躍，也是一個複雜的新入侵媒介。

三大主要攻擊向量

1. 閘道器與權杖劫持

透過操縱 gatewayUrl 參數，攻擊者可以誘導 AI 代理將其本地驗證權杖發送到惡意端點，從而獲得對該代理的完全控制權。

2. 域名搶註與品牌陷阱

工具更名（如 Clawdbot 改名為 OpenClaw）過程中的混亂，讓攻擊者能註冊類似域名（如 openclawd.ai），從尋找更新的使用者手中收割 API 金鑰。

3. 帶毒的 AI 「技能」

攻擊者在社區註冊表中上傳惡意技能。近期分析發現，某些交易技能含有隱藏的 bash 加載器，旨在安靜地抓取並執行遠端惡意軟體。

MSP 防禦指南

資安防禦者不能再僅僅追蹤惡意軟體，現在必須開始監控那些代表企業採取行動的自主代理背後的「意圖」。

開源 AI 助手 ClawdBot (現更名為 Moltbot) 的爆紅，突顯了本地優先 AI 代理的一個關鍵缺陷：過大的系統權限配上不安全的預設設定。

技術漏洞摘要

ClawdBot 的主要失敗在於其閘道器 API (連接埠 18789)，若綁定至公共介面且未經身份驗證，將導致遠端代碼執行 (RCE)。

安全強化檢查清單

• 網路端： 將閘道器 API 嚴格限制在 localhost (127.0.0.1)。
• 驗證端： 設定強效權杖 (Token)，長度至少 32 位元。
• 權限端： 除非絕對必要，否則禁用 Shell 執行功能 (exec)。
• 監控端： 部署自定義 EDR 規則 (如 SentinelOne STAR)，監控由代理產生的 zsh 子程序。
• 檔案端： 將配置目錄權限設為 chmod 700。

策略總結

AI 代理必須被視為 特權存取路徑 (Privileged Access Pathways)。組織應對任何 AI 代理部署應用嚴格的數據分類政策與零信任邊界，防止其演變成嚴重的「影子 AI (Shadow AI)」資安負債。