夜雨聆风Oasis安全研究人员在OpenClaw中发现了一个关键的零交互漏洞。作为史上增长最快的开源AI Agent框架之一,该漏洞允许任何恶意网站无需插件、扩展或用户操作即可静默获取开发者AI Agent的完全控制权。
OpenClaw(前身为Clawdbot和MoltBot)是一款自托管AI Agent,仅用五天就获得超过10万GitHub星标,现已成为全球数千名开发者的默认个人助手。该工具在开发者笔记本电脑本地运行,可连接消息应用、日历、开发工具和本地文件系统,代表用户执行自主操作——这种广泛访问权限正是该漏洞危害性极高的关键所在。
1
攻击原理剖析
OpenClaw通过绑定到本地主机的WebSocket网关运行,该网关作为Agent的核心协调层。macOS配套应用、iOS设备或其他机器等连接"节点"需向网关注册,并开放包括系统命令执行、文件访问和联系人读取等能力。
攻击只需满足一个条件:开发者在浏览器中访问恶意或被入侵网站。
完整攻击链如下:
受害者在其常规浏览器中访问攻击者控制的任何网站
页面中的JavaScript向本地主机上的OpenClaw网关发起WebSocket连接(由于浏览器不会阻止对环回地址的跨域WebSocket连接,该操作被允许)
脚本以每秒数百次尝试暴力破解网关密码(网关的速率限制器完全豁免本地主机连接,意味着失败尝试不会被计数、限制或记录)
认证成功后,脚本静默注册为受信任设备(网关自动批准来自本地主机的配对,无需用户确认)
攻击者获得Agent的完全管理员级控制权
根本原因在于三个错误的设计假设:本地主机连接本质可信、浏览器发起的流量无法到达本地服务、速率限制无需应用于环回地址——这些假设在现代浏览器环境中均不成立。
建立认证会话后,远程攻击者可直接与AI Agent交互,指令其搜索Slack历史记录中的API密钥、读取私密消息、从连接节点窃取文件以及执行任意shell命令。研究人员指出,对于使用典型OpenClaw集成的开发者而言,这等同于通过浏览器标签页实现的工作站完全沦陷,且受害者毫无察觉。
Oasis Security的PoC完整演示了端到端攻击链,成功破解网关密码并与实时Agent实例进行交互。
2
缓解措施建议
立即升级至OpenClaw 2026.2.25或更高版本
清点所有开发者机器上的OpenClaw实例,包括IT可视范围外的隐蔽安装
审计并撤销授予Agent实例的不必要凭证、API密钥和节点权限
建立AI Agent身份治理策略,采用与人类用户和服务账户相同的严格标准
OpenClaw团队将该漏洞评定为高危级别,并在24小时内发布补丁——这对志愿者驱动的开源项目而言值得称赞。但鉴于该工具的快速普及,企业应假设开发者设备中存在未打补丁的实例,并以处理任何关键补丁的同等紧迫性开展修复工作。
声明:除发布的文章无法追溯到作者并获得授权外,我们均会注明作者和文章来源。如涉及版权问题请及时联系我们,我们会在第一时间删改,谢谢!文章来源:OpenClaw 0-Click Vulnerability Allows Malicious Websites to Hijack Developer AI Agents
