深度安全研究团队 depthfirst General Security Intelligence 发现,备受超过 10 万开发者信赖的开源 AI 个人助手 OpenClaw,近期曝出一个已被武器化的高危漏洞。攻击者仅需诱使用户点击一个恶意链接,便能悄无声息地完全控制系统,整个过程无需任何用户交互。
对于希望深入了解此类前沿安全动态的开发者,可以在云栈社区的技术论坛中找到更多相关讨论与深度分析。
漏洞技术原理分析
OpenClaw 的架构设计赋予了其 AI Agent 极高的系统权限,可以访问消息应用、API密钥,并能无限制地控制本地计算机。在这种“上帝模式”下,任何安全漏洞的容错空间都变得微乎其微。
该漏洞的本质,在于三个安全缺陷的串联组合:首先是对传入的 URL 参数未经严格验证便直接使用;其次是程序会立即尝试建立网关连接;最后也是最为关键的一环,是它会自动将高权限的认证令牌发送出去。这三步连环失效,最终导致了严重的远程代码执行后果。
攻击链详解
下面我们来一步步拆解攻击者是如何利用这些缺陷的。
攻击流程可以清晰地分为以下几个阶段:
具体的技术实现细节如下:
- 参数接收与存储:
app-settings.ts 模块在未经验证的情况下,直接接收并处理了 URL 中传入的 gatewayUrl 参数,并将其存入了浏览器的 localStorage。
- 自动连接与令牌泄露:紧接着,
app-lifecycle.ts 模块立即触发 connectGateway() 函数。这个函数会毫无防备地将包含 authToken 在内的敏感认证信息,自动打包并发送到攻击者预先设定好的、由他们控制的网关服务器。
- 本地连接建立:由于存在 WebSocket 源验证缺失的问题,攻击者可以进一步通过受害者的浏览器,反向建立到受害者本地 OpenClaw 服务的连接。
- 权限绕过与命令执行:在成功窃取到认证令牌后,攻击者便拥有了等同于合法用户的身份。他们可以关闭系统的安全防护机制,并强制在主机上执行任意命令,从而完全控制系统。
整个攻击链高度自动化,对受害者而言几乎是“无感”的,这凸显了在自动化流程中缺乏严格验证所带来的巨大安全风险。
缓解措施与安全建议
OpenClaw 开发团队在获悉漏洞后已迅速响应,发布了紧急修复版本。主要修复措施包括:
- 增加了网关 URL 连接确认弹窗,要求用户手动确认。
- 取消了存在风险的自动连接行为。
- 强烈建议所有 v2026.1.24-1 之前版本的用户立即升级到最新版本。
- 同时,管理员应立即轮换所有认证令牌,并严格审计近期的命令执行日志。
这次安全事件也给所有部署和使用高权限 AI 工具的组织敲响了警钟。它深刻揭示了在缺乏严格的配置变更控制和网络连接验证机制下,盲目授予 AI Agent 无限制系统访问权限所蕴含的巨大风险。
为此,我们建议相关组织采取以下纵深防御措施:
- 实施网络分段:对运行 AI Agent 的环境进行额外的网络隔离,限制其不必要的网络访问能力。
- 限制出站连接:严格管控并限制 AI Agent 进程发起的出站 WebSocket 连接,仅允许其访问可信的、经过审批的端点。这种对自动化连接的管控是运维安全中非常重要的一环。
- 加强审计监控:建立完善的认证令牌生命周期管理和使用审计流程,对所有权限变更和敏感操作进行记录与实时监控。
参考来源:
1-Click Clawdbot Vulnerability Enable Malicious Remote Code Execution Attacks
https://cybersecuritynews.com/1-click-clawdbot-vulnerability-enable-malicious-remote-code-execution-attacks/ | 
发表于 14 小时前
|
查看: 0|
回复: 0
