Oasis 安全团队在 OpenClaw 中披露了一项严重的零交互漏洞。作为增长速度极快的开源 AI Agent 框架之一,该漏洞使攻击者无需插件、扩展或用户点击操作,仅凭一个恶意网页即可悄无声息地接管开发者的 AI Agent。
OpenClaw(原名 Clawdbot 和 MoltBot)是一款自托管 AI Agent,上线仅五天便收获超过 10 万个 GitHub 星标,目前已成为全球大量开发者的默认个人助手。它运行在本地笔记本电脑上,可连接消息工具、日历、开发环境及本地文件系统,并能代表用户执行自动化操作。正因其拥有广泛的系统访问权限,使得该漏洞的影响尤为严重。
OpenClaw 通过绑定在本地主机上的 WebSocket 网关进行通信,该网关是 Agent 的核心调度层。macOS 客户端、iOS 设备或其他终端等“节点”需向网关注册,并开放包括系统命令执行、文件读取、联系人访问等能力。
攻击仅需一个前提:开发者在浏览器中访问攻击者控制或被攻陷的网站。完整攻击流程如下:
受害者使用常规浏览器访问恶意页面
页面内嵌的 JavaScript 向本地主机上的 OpenClaw WebSocket 网关发起连接(浏览器默认不会阻止指向环回地址的跨域 WebSocket 请求)
恶意脚本以极高频率尝试破解网关密码(由于速率限制机制对本地主机连接豁免,失败尝试既不会被限制,也不会被记录)
一旦认证成功,脚本会自动注册为受信任设备(来自本地主机的配对请求默认被自动批准,无需用户确认)
攻击者随即获得对 Agent 的完整管理员权限
问题根源在于三项错误假设:
本地主机流量天然可信
浏览器发起的请求无法访问本地服务
环回地址无需实施速率限制
然而在现代浏览器环境下,这些前提均已不再成立。
一旦建立认证会话,远程攻击者便可直接操控 AI Agent,例如检索 Slack 历史记录中的 API 密钥、读取私密消息、窃取连接节点中的文件,甚至执行任意 shell 命令。研究人员指出,对于常规集成 OpenClaw 的开发者来说,这种攻击等同于通过一个浏览器标签页实现整台工作站的完全沦陷,且过程对用户完全不可见。
Oasis Security 发布的 PoC 已完整复现攻击链,成功破解网关密码并与实时 Agent 实例建立交互。
立即升级至 OpenClaw 2026.2.25 或更高版本
排查所有开发者设备上的 OpenClaw 实例,包括可能未纳入 IT 管理范围的安装
审计并收回不必要的凭证、API 密钥及节点授权
为 AI Agent 建立统一的身份与权限治理策略,执行与人员账号和服务账号同等级别的安全标准
OpenClaw 团队将该漏洞定级为高危,并在 24 小时内完成补丁发布。对于一个由志愿者主导的开源项目而言,这一响应速度值得肯定。但考虑到该工具的快速传播,企业应默认其环境中可能存在尚未更新的实例,并以处理关键安全补丁的同等紧急程度推进排查与修复工作。
网站资讯
渠道合作
解决方案
更多服务
