ClawJacked:恶意网站如何通过 WebSocket 劫持本地 AI 代理
Source: Dev.to
抱歉,我目前无法访问外部链接获取文章内容。请您提供需要翻译的文本,我将为您翻译成简体中文。
发生了什么
Oasis Security 已披露 ClawJacked,这是一种在 OpenClaw——一个流行的开源 AI 代理框架——中的高危漏洞。该缺陷允许用户访问的任何网站通过 WebSocket 连接悄悄劫持本地运行的 AI 代理,从而赋予攻击者对该代理及其所有已连接集成的完全控制权。
该漏洞已在 OpenClaw 2026.2.25 版本中修复,该版本于 2026 年 2 月 26 日发布——在负责任披露后的 24 小时内完成修补。
技术细分
ClawJacked 利用一个基本的信任假设:OpenClaw 对本地主机连接放宽安全机制,包括静默设备注册批准。攻击链分为四个步骤:
步骤 1:WebSocket 连接
当用户访问恶意网页时,页面上的 JavaScript 会打开到 localhost 上 OpenClaw 网关端口的 WebSocket 连接。浏览器不会阻止本地主机的 WebSocket 连接——不受 CORS 限制。
// Attacker's page — connects to local AI agent
const ws = new WebSocket('ws://localhost:OPENCLAW_PORT');步骤 2:密码暴力破解
OpenClaw 网关对身份验证尝试没有速率限制。攻击者的脚本通过 WebSocket 连接快速进行网关密码的暴力破解。
步骤 3:静默设备注册
认证后,攻击者注册为受信任设备。由于连接来自本地主机,网关会自动批准注册,而不会提示用户。
步骤 4:完全妥协
拥有管理员级别的访问权限后,攻击者可以:
- 执行任务,通过 AI 代理在所有已连接平台上操作
- 提取配置数据,包括 API 密钥和机密
- 枚举已连接节点并发现内部基础设施
- 访问应用日志,其中包含敏感的运营数据
- 横向渗透到代理能够访问的任何系统
相关 CVE
虽然 ClawJacked 本身没有分配 CVE,但 OpenClaw 最近修补了多个关键漏洞:
| CVE | Type | Severity |
|---|---|---|
| CVE‑2026‑25593 | RCE | 严重 |
| CVE‑2026‑24763 | Authentication Bypass | 严重 |
| CVE‑2026‑25157 | RCE | 高 |
| CVE‑2026‑25475 | Authentication Bypass | 高 |
| CVE‑2026‑26319 | Command Injection | 高 |
| CVE‑2026‑26322 | Command Injection | 高 |
| CVE‑2026‑26329 | SSRF | 中等 |
MITRE ATT&CK 映射
| 技术 | ID | 阶段 |
|---|---|---|
| 远程服务利用 | T1210 | 横向移动 |
| 暴力破解 | T1110 | 凭证获取 |
| 有效账户:本地 | T1078.003 | 持久化 |
| 应用层协议:WebSocket | T1071.001 | 指挥与控制 |
| 本地系统数据 | T1005 | 收集 |
受损指标
请留意与 ClawJacked 利用活动相关的以下 IOC:
- IP:
91.92.242[.]30— Atomic Stealer 负载分发 - Domain:
openclawcli.vercel[.]app— 恶意技能安装诱饵 - Actor:
@liuhui1010— ClawHub 评论活动,分发恶意技能
检测与狩猎
基于网络的检测
监视浏览器进程向本地主机发起的意外 WebSocket 连接:
# Sigma‑style rule: Browser process connecting to localhost WebSocket
title: Suspicious Localhost WebSocket from Browser
logsource:
category: network_connection
detection:
selection:
DestinationIp: '127.0.0.1'
SourceImage|endswith:
- 'chrome.exe'
- 'firefox.exe'
- 'msedge.exe'
condition: selection
level: medium基于主机的检测
查找 OpenClaw 网关设备注册事件且未出现用户交互:
# Check OpenClaw logs for auto‑approved device registrations
grep -i "device.*registered.*auto" /var/log/openclaw/*.log
# Monitor WebSocket connection volume to localhost
ss -tlnp | grep -E 'LISTEN.*localhost'缓解措施
- 立即更新至 OpenClaw 2026.2.25 版或更高版本
- 审计代理权限 — 检查您的 AI 代理可以访问的系统
- 在所有身份验证端点实施速率限制
- 禁用设备注册的自动批准,即使来自本地主机
- 在隔离系统上部署 — 切勿在开发者工作站上运行 AI 代理网关
- 为代理集成使用专用的、非特权凭据
- 持续监控未授权的设备注册
更大的图景
ClawJacked 突出了一个日益扩大的攻击面:信任本地主机连接的 AI 代理框架。随着组织部署能够访问内部工具、数据库和 API 的 AI 代理,单个被攻破的代理的冲击半径呈指数增长。
教训很明确——将 AI 代理视为特权身份。采用与服务账户相同的零信任原则:最小权限、持续监控,且永不假设本地主机等同于信任。
需要帮助评估您的风险吗?请求一次免费渗透测试——目前正处于公开测试阶段。