文章总结： OpenClawAI代理框架存在高危零点击漏洞，攻击者通过恶意网站即可远程劫持本地代理。漏洞因默认信任localhost连接且无速率限制，允许暴力破解密码获取管理员权限，从而控制代理执行敏感操作如窃取API密钥。官方建议立即升级至2026.2.25及以上版本，并加强终端安全治理。 综合评分： 87 文章分类： 漏洞分析,AI安全,终端安全,应用安全,渗透测试

【安全圈】OpenClaw本地网关漏洞导致AI代理成攻击入口

安全圈

2026年3月1日 19:01 美国

关键词

安全漏洞

开源AI代理框架OpenClaw近日被披露存在一项“零点击”高危漏洞，研究人员指出，攻击者只需诱导开发者访问一个恶意网站，即可在无插件、无扩展、无交互的情况下，直接劫持其本地运行的AI代理，实现接近整机控制级别的权限获取。该漏洞由Oasis Security发现，影响范围随着OpenClaw在开发者群体中的快速普及而被进一步放大。

OpenClaw是一款自托管AI代理工具，运行在开发者本地电脑上，可连接Slack、日历、开发工具及本地文件系统，并根据指令执行自动化操作。其核心通过绑定在localhost上的WebSocket网关进行调度，不同“节点”设备可注册到该网关，获得执行系统命令、读取文件、访问通讯录等能力。问题恰恰出在这一“默认信任本地连接”的设计假设上。

攻击链的触发条件极其简单：开发者在浏览器中访问攻击者控制的网站。页面中的JavaScript脚本即可向本地OpenClaw网关发起WebSocket连接。由于现代浏览器并不会阻止跨源脚本访问回环地址，攻击脚本得以直接与本地服务通信。更严重的是，OpenClaw对来自localhost的连接未实施有效限速与失败计数，攻击者可以每秒数百次暴力猜测网关密码而不会被锁定或记录。一旦密码被破解，脚本即可自动注册为“受信设备”，系统默认批准来自本地的配对请求，无需用户确认。

完成认证后，攻击者获得管理员级控制权限，可向AI代理下达指令，例如搜索Slack历史记录中的API密钥、读取私密消息、提取本地文件，甚至执行任意Shell命令。研究人员的概念验证显示，整个过程对受害者完全无感知，仅需一个浏览器标签页即可完成完整接管。

漏洞根源在于三项错误假设的叠加：认为localhost天然安全、认为浏览器无法访问本地服务、认为回环地址无需限速控制。在现代Web环境下，这些前提均已不成立。研究团队完成负责任披露后，OpenClaw项目方在24小时内发布修复版本，将该问题列为高危漏洞。

官方建议所有用户立即升级至2026.2.25或更高版本，并全面盘点组织内开发者终端上的OpenClaw实例，包括未纳入IT管理视野的“影子部署”。同时，应撤销不必要的API密钥与节点权限，将AI代理视为具备独立身份与高权限的系统实体，纳入统一身份与访问管理框架之中。

此次事件再次表明，随着AI代理逐步具备跨应用、跨系统的自动执行能力，其安全边界已远超传统插件或脚本工具。一旦设计中的信任模型出现偏差，风险规模将迅速放大。对企业而言，AI代理不再只是效率工具，而是必须纳入核心安全治理体系的高权限数字身份。

END

阅读推荐

【安全圈】ClawJacked 漏洞曝光：网站可远程劫持 OpenClaw AI 代理，开发者需立即升级

【安全圈】“Vibe Coding”翻车：AI 社交网络 Moltbook 泄露 475 万条数据

【安全圈】恶意npm包“ambar-src”投毒Windows、Linux与macOS

【安全圈】不用浏览器也能中招：Windows资源管理器成隐秘后门

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】OpenClaw本地网关漏洞导致AI代理成攻击入口》