ClawJacked 漏洞允许恶意站点通过 WebSocket 劫持本地 OpenClaw AI 代理
Source: The Hacker News
请提供您希望翻译的完整文本内容,我将为您翻译成简体中文并保留原始的格式、Markdown 语法以及技术术语。谢谢!
OpenClaw 修复高危安全问题(ClawJacked)
OpenClaw 已修复一个 高危 安全问题,如果被成功利用,攻击者可以让恶意网站连接到本地运行的人工智能(AI)代理并接管控制。
“我们的漏洞存在于核心系统本身——没有插件、没有市场、没有用户安装的扩展——仅仅是按文档描述运行的裸 OpenClaw 网关,”Oasis Security 在本周发布的报告中 说道。
该漏洞已被网络安全公司命名为 ClawJacked。
威胁模型
开发者在笔记本电脑上部署并运行 OpenClaw,其 网关(本地 WebSocket 服务器)绑定在 localhost 并受密码保护。攻击假设开发者访问了攻击者控制的网站(通过社会工程或其他向量)。
感染流程如下:
- 恶意网页上的 JavaScript 打开到
localhost上 OpenClaw 网关端口的 WebSocket 连接。 - 脚本通过暴力破解网关密码,利用了缺失的速率限制机制。
- 成功以管理员权限认证后,脚本悄悄注册为受信任设备,网关在没有任何用户提示的情况下自动批准。
- 攻击者获得对 AI 代理的完整控制权,能够:
- 与代理交互
- 导出配置信息
- 枚举已连接的节点
- 读取应用日志
“你访问的任何网站都可以向你的本地主机打开一个连接。与普通的 HTTP 请求不同,浏览器不会阻止这些跨域连接,”Oasis Security 解释道。“所以当你浏览任意网站时,该页面上运行的 JavaScript 可以悄无声息地打开到本地 OpenClaw 网关的连接。用户看不到任何异常。”
“这种错误的信任会带来真实的后果。网关对本地连接放宽了多项安全机制——包括在没有提示用户的情况下静默批准新设备注册。通常情况下,新设备连接时需要用户确认配对。而从 localhost 发起时,这一过程是自动完成的。”
补丁与修复措施
在负责任披露后,OpenClaw 在 24 小时内 发布了修复,版本为 2026.2.25(2026 年 2 月 26 日发布)。用户应当:
- 立即应用最新更新。
- 定期审计授予 AI 代理的访问权限。
- 对非人类(代理)身份实施治理控制。
背景:更广泛的安全审视
此举正值 OpenClaw 生态系统受到更严密审查之际。AI 代理对各类系统拥有深度访问权限,能够在企业工具之间执行任务,一旦被攻破,其冲击范围将大幅扩大。
- Bitsight 与 NeuralTrust 报告称,暴露在互联网的 OpenClaw 实例会增加攻击面。每集成一个服务都会扩大冲击范围,并可能通过嵌入内容(如电子邮件或 Slack 消息)中的提示注入被代理处理,从而被武器化。
- OpenClaw 还修复了一个 日志注入 漏洞,该漏洞允许攻击者通过对公开可访问的实例(TCP 端口 18789)发送 WebSocket 请求向日志文件写入恶意内容。由于代理会读取自己的日志进行故障排查,该缺陷可能被用于嵌入间接提示注入,进而导致未预期的行为。
Source: https://example.com/your-article
ded consequences.
- The issue was addressed in version 2026.2.13 (shipped February 14 2026).
- “If the injected text is interpreted as meaningful operational information rather than untrusted input, it could influence decisions, suggestions, or automated actions,” Eye Security noted. “The impact would therefore not be ‘instant takeover,’ but rather manipulation of agent reasoning, influencing troubleshooting steps, potential data disclosure if the agent is guided to reveal context, and indirect misuse of connected integrations.”
最近的 OpenClaw 漏洞
在最近几周,OpenClaw 被发现存在多项漏洞,包括:
- CVE‑2026‑25593 – advisory link
- CVE‑2026‑24763 – advisory link
- CVE‑2026‑25157 – advisory link
- CVE‑2026‑25475 – advisory link
- CVE‑2026‑26319 – (细节待定)
CVE‑2026‑26322、CVE‑2026‑26329 – OpenClaw 漏洞
来源: Endor Labs
- 严重程度:中等 → 高
- 影响:远程代码执行、命令注入、服务器端请求伪造(SSRF)、身份验证绕过、路径遍历
- 已在以下 OpenClaw 版本中修复:
| 版本号 | 发布链接 |
|---|---|
| 2026.1.20 | |
| 2026.1.29 | |
| 2026.2.1 | |
| 2026.2.2 | |
| 2026.2.14 |
“随着 AI 代理框架在企业环境中变得日益普及,安全分析必须演进,以应对传统漏洞和 AI 特定攻击面,” – Endor Labs。
ClawHub 上的恶意 Skills
Atomic Stealer 分发
研究来源:The Hacker News、Trend Micro、CrowdStrike
- 威胁行为体: Cookie Spider(网络犯罪组织)
- 恶意软件: Atomic Stealer – 一款针对 macOS 的信息窃取工具。
- 投送向量: 恶意的 OpenClaw skills 被上传至 ClawHub(OpenClaw skills 的开放市场)。
“感染链始于一个普通的
SKILL.md,它会安装前置条件,” – Trend Micro。 “该 skill 表面上看似无害,甚至在 VirusTotal 上被标记为良性。OpenClaw 随后访问网站,获取安装说明,并在 LLM 决定遵循说明时继续执行安装。”
- 指令主机:
openclawcli.vercel[.]app - 载荷服务器:
91.92.242[.]30(恶意 stealer 下载)
LiuComment 恶意软件活动
来源:OpenGuardRails
- 行为体:
@liuhui1010 - 手法: 在合法 skill 页面下方发表评论,诱导用户在 skill “在 macOS 上无法运行” 时执行恶意终端命令。
- 载荷: 与
91.92.242[.]30相同的 Atomic Stealer。
Straiker 分析 – 71 个恶意 Skills
来源:Straiker AI 安全
-
发现: 在检查的 3,505 个 skill 中发现 71 个恶意 skill。
-
典型案例:
- bob‑p2p‑beta – 指示 AI 代理将 Solana 私钥明文存储,购买
pump.fun上的 $BOB 代币,并通过攻击者控制的基础设施转移付款。 - runware – 伪装成无害的图像生成工具,以获取开发者信任。
- bob‑p2p‑beta – 指示 AI 代理将 Solana 私钥明文存储,购买
-
行为体:
- ClawHub 上的 “26medias”
- Moltbook(AI 代理社交网络)和 X 上的 “BobVonNeumann”
“BobVonNeumann 在 Moltbook 上自称是 AI 代理,Moltbook 是一个为代理之间互动而设计的社交网络,” 研究员 Yash Somalkar 与 Dan Regalado 说道。 “它利用这一身份直接向其他代理推广自己的恶意 skills,利用代理之间默认的信任关系进行攻击。这是一种带有社交工程层的供应链攻击。”
图片
建议
- 在安装前审计技能 – 审查代码、权限和外部调用。
- 绝不提供凭证或私钥,除非绝对必要。
- 监控技能行为 – 使用运行时遥测和沙箱。
Microsoft Advisory on OpenClaw
Source: Microsoft Defender Security Research
“因为这些特性,OpenClaw 应被视为 带有持久凭证的非受信代码执行,”团队警告道。 “在标准的个人或企业工作站上运行它并不合适。”
部署指南
- 使用 完全隔离的环境(专用虚拟机或物理系统)。
- 使用 非特权、专用的凭证运行。
- 仅限 非敏感数据 访问。
- 实施 持续监控 并为运行时制定 重建计划。
保持关注
关注我们获取更多安全更新:
- Google News: Google
- Twitter: thehackersnews
- LinkedIn: The Hacker News