ClawJacked:当访问网站劫持你的 AI Agent
I’m happy to translate the article for you, but I’ll need the full text of the post (the content you’d like translated). Could you please paste the article’s body here? Once I have that, I’ll provide a Simplified‑Chinese translation while keeping the source link and all formatting intact.
自动化 AI 代理的崛起
2026 年是 AI 代理从聊天机器人转变为自主运营者的一年。OpenClaw——最初叫 Clawdbot,在 Anthropic 强制改名后更名——成为历史上增长最快的 GitHub 仓库之一,几周内获得 135 000 颗星。
与传统的 AI 助手只回答问题后即忘记不同,OpenClaw 与众不同。它 持久化。它 行动。它可以运行 shell 命令、管理文件、浏览网页、发送电子邮件,并通过本地网关服务器编排你的数字生活。
架构——一个 WebSocket 网关运行在你的机器上,AI‑agent 节点连接到它,所有通信都通过已认证的会话进行。你的手机、笔记本和台式机都通过此网关相连,共享能力和上下文。
它功能强大。它也是一个巨大的攻击面,而这一点几乎没有人考虑到。
混乱的副官归来
混乱副官(confused‑deputy)问题自 1988 年起就已存在。其概念很简单:一个拥有提升权限的程序被欺骗,在攻击者的指使下误用这些权限。它是 CSRF、SSRF 以及无数其他漏洞类别的根本原因。
ClawJacked 是针对 AI 代理时代改编的混乱副官问题——它比我们以前见过的任何情况都更糟,因为此处的“副官”拥有对您数字生活的 根级访问 权限。
ClawJacked 工作原理:四步实现完全接管
Oasis Security 的研究人员发现,任何网站都可以完全控制本地运行的 OpenClaw 代理。攻击链因其简洁而显得尤为巧妙:
步骤 1:WebSocket 连接到本地主机
当你访问攻击者控制的网站时,页面上的 JavaScript 会打开一个指向 localhost 上 OpenClaw 网关端口的 WebSocket 连接。
关键点: 对
localhost的 WebSocket 连接 不会 被跨源策略阻止。网页对localhost的标准 HTTP 请求会被 CORS 阻止,但 WebSocket 连接是被允许的。
// This works from ANY website
const ws = new WebSocket('ws://localhost:GATEWAY_PORT');步骤 2:暴力破解网关密码
OpenClaw 的网关对身份验证尝试实施了速率限制——但对本地主机的连接例外,不受限制。研究人员演示了通过浏览器 JavaScript 每秒“数百次密码猜测”,在不到一秒的时间内耗尽常用密码字典。
信任“本地”连接的安全机制正是 ClawJacked 的核心:当任何网站都能访问 localhost 时,“本地”并不等同于“可信”。
步骤 3:静默设备注册
一旦认证成功,攻击者的脚本会注册为新设备。通常,设备配对需要用户确认(弹出“是否信任此设备?”的提示)。OpenClaw 会自动批准来自 localhost 的设备配对——没有提示,也没有通知。攻击者悄无声息地成为你 AI 代理网络中的受信任设备。
步骤 4:完全控制代理
游戏结束。攻击者现在可以:
- 在任何已连接节点上执行任意命令
- 读取 AI 代理可访问的所有文件
- 窃取凭证、API 密钥和机密信息
- 访问连接的移动设备的摄像头和联系人
- 读取应用日志和审计记录
- 枚举网络中所有已配对的设备
- 指示 AI 代理执行其能够完成的任何操作
所有这些都在受害者浏览网页时悄然发生。无需点击。无需下载。无需警告。
信任图问题
ClawJacked 不仅仅是某个产品中的单一漏洞。它暴露了我们构建 AI 代理系统时的根本架构缺陷:级联信任。
OpenClaw 的网关会连接到各类节点——macOS 应用、iOS 设备、其他机器。每个节点都会暴露能力:Shell 访问、文件系统、摄像头、联系人、日历。当你攻破网关时,你不仅仅是攻破了一个设备;你会攻破所有曾经连接过的设备,以及这些设备能够访问的所有服务。
Bitsight 和 NeuralTrust 的安全研究人员记录了这种情况如何导致爆炸半径不断扩大。如果你的 OpenClaw 代理连接到:
- GitHub → 攻击者可以向你的仓库推送代码
- Slack → 攻击者可以读取并以你的身份发送消息
- AWS → 攻击者可以访问你的云基础设施
- Email → 攻击者可以导出敏感通信
信任图意味着来自网页的单个 WebSocket 连接就可能级联出对数十个系统的访问。这就是 “有毒组合” 问题——合法的代理对代理通信在链路中的任意环节被攻破时,会产生指数级的安全风险。
超越 OpenClaw:代理安全危机
在 2026 年 1 月下旬进行的一次安全审计中,发现 OpenClaw 存在 512 个漏洞,其中八个被归类为关键漏洞。除了 ClawJacked (CVE‑2026‑25253) 外,其他值得注意的 CVE 包括:
| CVE | 描述 |
|---|---|
| CVE‑2026‑25593 | 远程代码执行 |
| CVE‑2026‑24763 | 命令注入 |
| CVE‑2026‑25157 | SSRF |
| CVE‑2026‑25475 | 身份验证绕过 |
| CVE‑2026‑26319 | 路径遍历 |
| CVE‑2026‑26322 | 额外的身份验证绕过 |
| CVE‑2026‑26329 | 进一步的远程代码执行向量 |
但这并不是 OpenClaw 特有的问题。每个在本地运行且带有网络监听器的 AI 代理都有可能受到同类攻击的影响。
本地主机不是安全边界
从 ClawJacked 中得到的核心教训看似简单:localhost 并非信任边界。
数十年来,开发者一直把本地主机连接视为天生可信。“如果有人能够连接到 localhost,他们已经获得了机器的访问权限。” 这种假设本就脆弱,但在只有本地进程相互连接的情况下还能勉强成立。
浏览器改变了这一局面。WebSocket、WebRTC 以及其他浏览器 API 可以从任何网页访问 localhost。你的本地服务因此向你访问的每个网站暴露。在拥有强大功能的 AI 代理时代,这种暴露的影响范围极其庞大。
你现在应该做的
如果你在运行 OpenClaw
- 立即更新至 2026.2.25 或更高版本(在披露后 24 小时内已修补)。
- 审计已连接的设备并撤销任何不认识的设备。
- 检查网关日志,留意异常的 localhost 连接。
如果你在构建 AI 代理
- 切勿对 localhost 免除身份验证或速率限制。
- 对所有设备注册都要求明确的用户确认,无论来源如何。
- 在 WebSocket 连接上实现来源检查。
- 采用零信任原则——将你的 AI 代理视为特权身份。
- 假设每一次集成都在扩大你的冲击半径。
如果你是安全研究员
- AI 代理网关是新的攻击面。所有运行本地服务器并具备代理功能的产品都是目标。
- 对 AI 代理应用的混淆‑代理模式是丰富的狩猎场。
- 跨代理集成的信任图分析将揭示级联的漏洞链。
更大的图景
我们正在构建能够执行命令、访问文件、发送电子邮件,并在数字生活中采取各种操作的系统——随后将它们连接到本地主机,并为“受信任”的连接关闭速率限制。
AI 代理的时代也是 AI 代理被利用的时代。ClawJacked 是首个高调案例,但不会是最后一个。随着自主 AI 系统的普及,攻击面不在于 AI 模型本身,而在于我们围绕它构建的基础设施。
困惑的代理人获得了升级,并且拥有了根权限。