深度安全研究团队 depthfirst General Security Intelligence 近日披露,在广受欢迎的开源AI个人助手OpenClaw(前称ClawdBot/Moltbot,据称被超过10万开发者使用)中发现一个高危安全漏洞。该漏洞已被武器化,攻击者仅需诱导用户点击一个恶意链接,即可在无需任何进一步交互的情况下,完全控制受害者的本地系统,实现所谓的“一键攻击”。
漏洞技术原理分析
OpenClaw的设计架构赋予了其AI Agent极高的系统权限,可以访问消息应用、API密钥并无限制地控制本地计算机。在这种“上帝模式”的权限环境下,任何安全缺陷都可能被无限放大。
该漏洞的本质是利用了三个安全防护环节的串联失效:
- 未经验证的输入接收:前端代码未对用户输入的URL参数进行安全校验。
- 自动化的危险连接:在接收到参数后,系统会自动尝试建立网络连接。
- 敏感信息的自动传输:在建立连接的过程中,系统的核心认证令牌(authToken)会被自动发送出去。
攻击链详解
让我们一步步拆解攻击者是如何利用这些缺陷完成入侵的。整个攻击流程高度自动化,对用户完全透明。
首先,攻击者会构造一个特殊的恶意URL,其中包含一个指向其控制的恶意服务器的gatewayUrl参数。当用户访问这个链接时,攻击便开始了。
- 参数注入与存储:OpenClaw的
app-settings.ts 模块在未经验证的情况下,直接读取了URL中的gatewayUrl参数,并将其存储到浏览器的localStorage中。
- 自动连接与令牌泄露:紧接着,
app-lifecycle.ts 模块触发了 connectGateway() 函数。这个函数会读取本地存储的敏感authToken,并自动尝试向gatewayUrl指定的地址(即攻击者的服务器)发起WebSocket连接,从而将令牌拱手送人。
- 本地连接劫持:由于OpenClaw的WebSocket服务缺乏对连接来源的严格验证,攻击者在获取令牌后,可以通过受害者浏览器作为跳板,反向连接到运行在受害者本机(
localhost)上的OpenClaw WebSocket服务。
- 权限提升与命令执行:利用窃取到的合法
authToken,攻击者可以顺利通过认证,并进一步关闭系统的安全防护机制,最终在受害者主机上以高权限执行任意命令。
上图为利用工具连接时捕获的日志,其中高亮部分即为被泄露的 authToken。
下图清晰地概括了从用户访问到攻击完成的完整攻击链:
缓解措施与安全建议
漏洞披露后,OpenClaw开发团队已迅速响应并发布了修复版本。主要修复措施包括:
- 增加用户确认环节:为网关URL的更改增加了强制性的用户确认弹窗,阻止自动应用恶意参数。
- 取消危险的自行为:移除了自动连接至新网关的功能,需要用户手动操作。
- 立即升级:强烈建议所有使用
v2026.1.24-1 之前版本的用户立即升级到最新安全版本。
- 应急响应:系统管理员应立即轮换所有现有的认证令牌,并仔细审计近期的命令执行日志,排查是否已有未授权访问。
此次事件为所有部署高权限AI助手的组织敲响了警钟。它深刻揭示了在缺乏严格配置管理、输入验证和网络隔离的环境下,赋予AI Agent无限制系统访问权限所带来的巨大安全风险。除了应用官方的补丁,我们还应考虑以下纵深防御措施:
- 网络分段:将运行AI Agent的进程隔离在特定的网络沙箱或虚拟机中,限制其网络访问能力。
- 出站连接控制:严格限制AI Agent进程发起的出站WebSocket连接,只允许连接到可信的、预先配置的地址。
- 权限与审计:实施最小权限原则,定期审计认证令牌的使用情况和系统权限的变更记录。
参考来源:
1-Click Clawdbot Vulnerability Enable Malicious Remote Code Execution Attacks
https://cybersecuritynews.com/1-click-clawdbot-vulnerability-enable-malicious-remote-code-execution-attacks/
文章来源:FreeBuf
本文涉及的技术细节仅供安全研究与学习之用,请勿用于非法用途。 | 
发表于 11 小时前
|
查看: 1|
回复: 0
