网络安全公司 Oasis Security 近期披露了一个存在于热门开源 AI 代理框架 OpenClaw 中的高危漏洞。攻击者无需用户进行任何交互操作,仅诱导开发者访问一个恶意网页,即可悄无声息地完全控制其本地的 AI 助手,进而获得对设备的广泛访问权限。
OpenClaw 曾用名 Clawdbot、MoltBot,在 2026 年快速走红。它在上线仅 5 天后便在 GitHub 上获得了超过 10 万颗星标,迅速成为全球数千名开发者的默认个人 AI 助手。
与需要联网使用的在线 AI 工具不同,OpenClaw 设计为在用户本地运行。其核心是一个 WebSocket 网关,能够连接聊天软件、集成开发环境以及本地文件系统,以执行复杂的自动化任务。正是这种对本地资源广泛的访问权限,使得一旦该框架被攻破,其造成的危害将远超普通网络服务。
无需点击!一个网页就能劫持AI助手
此次曝光的漏洞属于典型的“零点击”(Zero-Click)攻击。开发者不需要下载任何可疑插件或文件,攻击者只需构造一个恶意网页,或入侵一个正常网站并植入攻击代码。当开发者使用浏览器访问该页面时,攻击便会自动触发。
Oasis Security 的研究人员完整还原了攻击链路,整个过程隐蔽且高效:
- 开发者使用浏览器访问了由攻击者控制的网页;
- 网页中嵌入的 JavaScript 脚本会自动尝试向本地运行的 OpenClaw 网关发起 WebSocket 连接。由于浏览器通常不会拦截对本地回环地址(如
127.0.0.1)的跨域连接,这一行为得以顺利进行;
- 脚本随后会以每秒数百次的频率,暴力尝试破解 OpenClaw 网关的密码。由于是本地连接,服务端没有设置任何请求速率限制,并且失败的尝试既不会触发计数也不会被记录到日志中;
- 一旦密码被破解,脚本便会自动将自己注册为一个“可信设备”。而网关的默认配置会直接批准来自本地网络的配对请求,无需用户手动确认;
- 至此,攻击者已成功获取了该 AI 助手的管理员权限,实现了对它的完全控制。
该漏洞的根源在于三个关键的设计误区:默认所有本地连接都是安全的、认为浏览器环境无法访问本地服务、以及对本地连接不施加任何速率限制。这些假设与现代浏览器的能力和常见的攻击模型已严重不符。
危害堪比整机入侵,开发者需高度警惕
当本地 AI 代理 被劫持后,攻击者所能做的事情非常多。他们可以检索并窃取 AI 助手中存储的各类 API 密钥和凭证,读取用户的私人对话记录,访问并窃取本地文件系统中的敏感文档,甚至可以通过 AI 助手执行任意的系统命令。
对于开发者而言,这相当于攻击者仅仅通过诱导你打开一个浏览器标签页,就实现了对你整个工作电脑的“入侵”。更令人担忧的是,整个攻击过程可能在后台静默完成,用户难以察觉任何异常。Oasis Security 已经成功完成了攻击演示,验证了漏洞的可行性和危害性。
紧急处置方案
OpenClaw 开发团队已将此漏洞评估为高危级别,并在 24 小时内发布了修复补丁。所有正在使用或曾经使用过 OpenClaw 的开发者,应立即采取以下措施进行防护:
- 立即更新:将 OpenClaw 升级到 2026.2.25 或更高版本,新版本修复了相关安全缺陷。
- 全面排查:检查所有开发设备(包括个人电脑、测试服务器等)上是否运行着 OpenClaw 实例,即使是一些未被正式登记的旧版本。
- 权限审计:立即审计并撤销已授予 OpenClaw AI 助手的所有不必要的凭证、密钥及系统权限,遵循最小权限原则。
- 建立管理制度:将 AI 代理纳入企业安全管理制度,其访问权限应像员工账号一样受到严格管控和定期审计。
本次漏洞的详细技术分析与披露报告来源于 Oasis Security 官方。对于这类新兴的、拥有高权限的本地 AI 工具,社区和开发者都需要投入更多关注来保障其安全性。你可以在 云栈社区 的网络安全板块找到更多关于 Agent 安全与实践的深度讨论。
| 
发表于 9 小时前
|
查看: 2|
回复: 0
