OpenClaw本地网关漏洞导致AI代理成攻击入口

开源AI代理框架OpenClaw近日被披露存在一项“零点击”高危漏洞，研究人员指出，攻击者只需诱导开发者访问一个恶意网站，即可在无插件、无扩展、无交互的情况下，直接劫持其本地运行的AI代理，实现接近整机控制级别的权限获取。该漏洞由Oasis Security发现，影响范围随着OpenClaw在开发者群体中的快速普及而被进一步放大。

OpenClaw是一款自托管AI代理工具，运行在开发者本地电脑上，可连接Slack、日历、开发工具及本地文件系统，并根据指令执行自动化操作。其核心通过绑定在localhost上的WebSocket网关进行调度，不同“节点”设备可注册到该网关，获得执行系统命令、读取文件、访问通讯录等能力。问题恰恰出在这一“默认信任本地连接”的设计假设上。

攻击链的触发条件极其简单：开发者在浏览器中访问攻击者控制的网站。页面中的JavaScript脚本即可向本地OpenClaw网关发起WebSocket连接。由于现代浏览器并不会阻止跨源脚本访问回环地址，攻击脚本得以直接与本地服务通信。更严重的是，OpenClaw对来自localhost的连接未实施有效限速与失败计数，攻击者可以每秒数百次暴力猜测网关密码而不会被锁定或记录。一旦密码被破解，脚本即可自动注册为“受信设备”，系统默认批准来自本地的配对请求，无需用户确认。

完成认证后，攻击者获得管理员级控制权限，可向AI代理下达指令，例如搜索Slack历史记录中的API密钥、读取私密消息、提取本地文件，甚至执行任意Shell命令。研究人员的概念验证显示，整个过程对受害者完全无感知，仅需一个浏览器标签页即可完成完整接管。

漏洞根源在于三项错误假设的叠加：认为localhost天然安全、认为浏览器无法访问本地服务、认为回环地址无需限速控制。在现代Web环境下，这些前提均已不成立。研究团队完成负责任披露后，OpenClaw项目方在24小时内发布修复版本，将该问题列为高危漏洞。

官方建议所有用户立即升级至2026.2.25或更高版本，并全面盘点组织内开发者终端上的OpenClaw实例，包括未纳入IT管理视野的“影子部署”。同时，应撤销不必要的API密钥与节点权限，将AI代理视为具备独立身份与高权限的系统实体，纳入统一身份与访问管理框架之中。

此次事件再次表明，随着AI代理逐步具备跨应用、跨系统的自动执行能力，其安全边界已远超传统插件或脚本工具。一旦设计中的信任模型出现偏差，风险规模将迅速放大。对企业而言，AI代理不再只是效率工具，而是必须纳入核心安全治理体系的高权限数字身份。