Oasis安全研究团队在开源AI框架OpenClaw中发现了一个高危的零交互漏洞。作为近期增长最快的开源AI Agent框架之一,该漏洞允许任何恶意网站无需插件、扩展或任何用户操作,即可静默获取开发者本地AI Agent的完全控制权。
OpenClaw(前身为Clawdbot和MoltBot)是一款自托管的AI Agent,曾仅用五天时间就在GitHub上获得了超过10万颗星标,目前已成为全球数千名开发者的默认个人助手。它在开发者本地电脑上运行,能够连接消息应用、日历、开发工具以及本地文件系统,并代表用户执行自主任务。这种广泛的系统访问权限,恰恰是此次漏洞危害性被严重放大的关键。
攻击原理剖析
OpenClaw的核心是一个绑定在本地主机上的WebSocket网关,它充当所有Agent活动的协调中心。无论是macOS配套应用、iOS设备还是其他机器,这些连接“节点”都需要向这个网关注册,并开放包括执行系统命令、访问文件、读取联系人等一系列高权限能力。
攻击成功的唯一前提是:开发者使用浏览器访问了一个恶意或被攻陷的网站。
完整的攻击链条清晰展示了风险所在:
- 受害者在日常使用的浏览器中,访问了攻击者控制的任何网站。
- 网页中嵌入的JavaScript代码会向本地主机上的OpenClaw网关发起WebSocket连接。由于浏览器的同源策略通常不会阻止对环回地址的跨域WebSocket连接,这一步会被顺利放行。
- 脚本开始以每秒数百次的频率,暴力破解网关的访问密码。而网关的速率限制器完全豁免了对本地主机连接的检查,这意味着所有的失败尝试都不会被计数、限制或记录。
- 一旦认证成功,脚本便静默地将自己注册为一台受信任的设备。网关会自动批准来自本地主机的配对请求,无需经过任何用户确认。
- 至此,攻击者便获得了对该AI Agent的完全管理员级别控制权。
这一系列问题的根本原因,在于三个错误的设计假设:本地主机连接本质上是可信的;由浏览器发起的流量无法到达本地服务;速率限制无需应用于环回地址。遗憾的是,这些假设在现代浏览器和网络环境中均已不再成立。
在成功建立认证会话后,远程攻击者便可以与AI Agent直接交互,指令其搜索Slack历史记录中的API密钥、读取私密消息、从已连接的节点窃取文件,甚至执行任意的shell命令。研究人员指出,对于使用了典型OpenClaw集成的开发者而言,这等同于通过一个浏览器标签页就实现了对整个工作站的完全控制,而受害者可能全程毫无察觉。
Oasis Security提供的概念验证完整演示了端到端的攻击链,成功破解了网关密码并与一个真实的Agent实例进行了交互。
缓解措施建议
面对这一高危漏洞,安全团队给出了明确的缓解建议:
- 立即升级:将所有OpenClaw实例升级至2026.2.25或更高版本,该版本包含了针对此漏洞的修复。
- 全面清点:盘点所有开发者机器上的OpenClaw实例,尤其要注意那些在IT部门可视范围之外进行的“隐蔽”安装。
- 权限审计:立即审计并撤销已授予OpenClaw Agent实例的不必要凭证、API密钥和节点访问权限,遵循最小权限原则。
- 建立治理策略:为企业内的AI Agent建立身份治理策略,采用与人类用户和服务账户同等严格的安全标准和生命周期管理。
OpenClaw开发团队在收到报告后,迅速将该漏洞评定为高危级别,并在24小时内发布了修复补丁——这对于一个由志愿者驱动的开源项目而言,反应速度值得称赞。然而,鉴于该工具在开发者社区的快速普及,企业安全团队应当假设在大量开发者设备中仍存在未打补丁的实例,并需要以处理任何关键基础设施补丁的同等紧迫性来推动修复工作。
参考来源:
OpenClaw 0-Click Vulnerability Allows Malicious Websites to Hijack Developer AI Agents
https://cybersecuritynews.com/openclaw-0-click-vulnerability/
对于AI Agent这类新兴工具的安全实践,你有哪些看法或经验?欢迎在云栈社区的相关板块与更多开发者交流讨论。 | 
发表于 11 小时前
|
查看: 0|
回复: 0
