文章总结： GitHub热门AI助手OpenClaw曝高危漏洞CVE-2026-25253，CVSS评分8.8。攻击者可通过恶意链接利用跨站WebSocket劫持窃取令牌，绕过本地限制获得管理员权限，实现远程代码执行。该漏洞影响所有2026.1.29之前的版本，建议立即更新至最新版本以修复风险。 综合评分： 85 文章分类： 漏洞预警,AI安全,安全大事件

14.9万星AI个人助手OpenClaw曝高危漏洞

SecHub网络安全社区

2026年2月4日 10:49 河南

点击蓝字 关注我们

免责声明

本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知并提供身份证明，所有权证明，我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用，任何人不得将其应用于非法用途及盈利等目的，间接使用文章中的任何工具、思路及技术，我方对于由此引起的法律后果概不负责。

🌟简介

    Github 14.9万星热门AI个人助手OpenClaw（曾被称为 Clawdbot 和 Moltbot）曝高危漏洞，该漏洞可能允许通过一个定制的恶意链接进行远程代码执行（RCE），该漏洞编号为 CVE-2026-25253（CVSS 评分：8.8），它被描述为一个令牌窃取漏洞，会导致完整网关被攻破。

影响版本

所有<2026.1.29的版本

详情     OpenClaw 的创建者和维护者 Peter Steinberger 在一个公告中说：“控制 UI 未经验证就信任查询字符串中的 gatewayUrl，并在加载时自动连接，将存储的网关令牌发送在 WebSocket 连接负载中。”“点击一个定制的链接或访问一个恶意网站可以将令牌发送到攻击者控制的服务器。攻击者随后可以连接到受害者的本地网关，修改配置（沙盒、工具策略），并调用特权操作，实现一键 RCE。”     点击该网页链接就足以触发跨站 WebSocket 劫持攻击，因为 OpenClaw 的服务器不验证 WebSocket 来源头部。这导致服务器接受来自任何网站的请求，从而绕过了 localhost 网络限制。     恶意网页可以利用此问题在受害者的浏览器上执行客户端 JavaScript，该脚本可以获取认证令牌，建立与服务器的 WebSocket 连接，并使用被盗的令牌绕过认证并登录受害者的 OpenClaw 实例。     更糟糕的是，通过利用令牌的特权 operator.admin 和 operator.approvals 范围，攻击者可以使用 API 通过将”exec.approvals.set”设置为”off”来禁用用户确认，并通过将”tools.exec.host”设置为”gateway”来逃逸用于运行 shell 工具的容器。     “它影响任何已认证到 Control UI 的 Moltbot 部署。攻击者获得对网关 API 的操作员级访问权限，从而可以任意修改配置并在网关主机上执行代码。即使网关绑定到回环地址，攻击也能奏效，因为受害者的浏览器充当了桥梁。” 处置措施 该漏洞已在 2026 年 1 月 30 日发布的版本 2026.1.29 中得到解决，请注意及时更新。

欢迎关注SecHub网络安全社区，SecHub网络安全社区目前邀请式注册，邀请码获取见公众号菜单【邀请码】

#

企业简介

赛克艾威 – 网络安全解决方案提供商****

       北京赛克艾威科技有限公司（简称：赛克艾威），成立于2016年9月，提供全面的安全解决方案和专业的技术服务，帮助客户保护数字资产和网络环境的安全。

安全评估|渗透测试|漏洞扫描|安全巡检

代码审计|钓鱼演练|应急响应|安全运维

重大时刻安保|企业安全培训

联系方式

电话｜010-86460828

官网｜https://sechub.com.cn

关注我们

公众号：sechub安全

哔哩号：SecHub官方账号

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SecHub网络安全社区 《14.9万星AI个人助手OpenClaw曝高危漏洞》