文章总结： 开源AI助手OpenClaw存在高危漏洞，攻击者利用未验证URL参数与自动连接机制，无需用户交互即可窃取令牌并执行远程代码。该漏洞已修复，建议立即升级版本、轮换令牌并审计日志，同时通过网络分段限制出站连接以防范风险。 综合评分： 90 文章分类： AI安全,漏洞分析,漏洞预警,WEB安全

OpenClaw高危漏洞可一键窃取主密钥，攻击者直通上帝模式

FreeBuf

2026年2月3日 18:03 上海

深度安全研究团队depthfirst General Security Intelligence发现，开源AI个人助手OpenClaw（被超过10万开发者信任）存在一个高危漏洞，该漏洞已被武器化为可一键触发的远程代码执行攻击。攻击者仅需通过一个恶意链接即可完全控制受害者系统，无需任何用户交互。

Part01

漏洞技术原理分析

OpenClaw架构赋予AI Agent”上帝模式”权限，可访问消息应用、API密钥并无限制控制本地计算机。在这种高权限环境中，安全容错空间极其有限。

该漏洞利用三个组件的串联缺陷：未经验证的URL参数接收、立即建立网关连接以及自动传输认证令牌。

Part02

攻击链详解

攻击者通过以下步骤完成攻击：

• app-settings.ts模块未经验证直接接收URL中的gatewayUrl参数并存入localStorage
• app-lifecycle.ts立即触发connectGateway()，将敏感authToken自动打包发送至攻击者控制的网关服务器
• 利用WebSocket源验证缺失漏洞，通过受害者浏览器建立本地连接
• 窃取令牌后，攻击者关闭安全机制并强制在主机执行命令

Part03

缓解措施

OpenClaw开发团队已紧急修复该漏洞，主要措施包括：

• 增加网关URL确认弹窗
• 取消自动连接行为
• 建议v2026.1.24-1之前版本用户立即升级
• 管理员应轮换认证令牌并审计命令执行日志

该事件凸显了在缺乏严格配置变更和网络连接验证的情况下，授予AI Agent无限制系统访问权限的安全风险。建议部署OpenClaw的组织：

• 实施额外网络分段
• 限制AI Agent进程的出站WebSocket连接
• 严格审计认证令牌使用和权限变更

参考来源：

1-Click Clawdbot Vulnerability Enable Malicious Remote Code Execution Attacks

1-Click Clawdbot Vulnerability Enable Malicious Remote Code Execution Attacks

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《OpenClaw高危漏洞可一键窃取主密钥，攻击者直通上帝模式》