Oasis Security 研究人员发现,史上增长最快的开源 AI 智能体框架之一 OpenClaw 存在一处高危零交互漏洞。该漏洞可让任意恶意网站在无需插件、扩展程序或任何用户操作的情况下,静默完全接管开发者的 AI 智能体。
OpenClaw 是一款可本地部署的 AI 智能体,前身为 Clawdbot 和 MoltBot,短短五天内在 GitHub 上斩获超 10 万星标,已成为全球数千名开发者的默认个人助手。
该工具在开发者笔记本电脑本地运行,可对接通讯应用、日历、开发工具及本地文件系统,并代表用户自主执行操作。正是这种极高的权限,让该漏洞变得极度危险。
攻击原理
OpenClaw 通过一个绑定在 localhost 的本地 WebSocket 网关运行,该网关是智能体的核心调度层。macOS 配套应用、iOS 设备或其他机器等接入 “节点” 会向网关注册,并开放系统命令执行、文件访问、联系人读取等能力。
攻击仅需满足一个条件:
开发者在浏览器中访问恶意网站或被入侵的网站。
完整攻击链如下:
- 受害者在日常浏览器中访问任意攻击者控制的网站
- 页面中的 JavaScript 向本地 OpenClaw 网关建立 WebSocket 连接 —— 浏览器不会阻止跨源 WebSocket 访问回环地址,因此该行为被允许
- 脚本以每秒数百次的速度暴力破解网关密码;网关的限流机制完全豁免 localhost 连接,失败尝试不会被计数、限流或记录
- 认证成功后,脚本静默注册为受信任设备—— 网关会自动批准来自 localhost 的配对,无任何用户提示
- 攻击者获得对 AI 智能体的完整管理员级控制权
漏洞根源是三项错误的设计假设:
- 认为 localhost 连接天然可信
- 认为浏览器流量无法访问本地服务
- 认为回环地址无需限流
在现代浏览器环境中,这些假设均不成立。
在建立认证会话后,远程攻击者可直接操控 AI 智能体:
指令其检索 Slack 历史中的 API 密钥、读取私密消息、从关联节点窃取文件,并执行任意 Shell 命令。
研究人员表示,对于使用标准 OpenClaw 集成的开发者而言,这相当于仅通过一个浏览器标签页就完全攻陷整台工作站,而受害者毫无察觉。
缓解措施
- 立即升级至 OpenClaw 2026.2.25 或更高版本
- 盘点开发者设备上所有 OpenClaw 实例,包括 IT 无感知的 “影子安装”
- 审计并回收授予智能体的不必要凭证、API 密钥与节点权限
- 为 AI 智能体身份建立治理策略,按人类用户与服务账号同等严格的标准进行管理
OpenClaw 团队将该漏洞定级为高危,并在 24 小时内发布补丁 —— 对于志愿者驱动的开源项目而言,这一响应速度值得肯定。
但鉴于该工具普及极快,企业应假设开发者设备中仍存在未修补实例,并以同等紧急程度推进修复。
发表评论
您还未登录,请先登录。
登录