文章总结： 安全研究人员披露AI平台OpenClaw存在高危漏洞ClawJacked。该漏洞源于网关服务默认绑定localhost并暴露WebSocket接口且未对回环地址进行速率限制，允许恶意网站通过浏览器JavaScript静默暴力破解管理员密码。攻击者成功利用后可窃取凭据、执行命令并完全控制工作站。OpenClaw已发布2026.2.26版本修复该问题，建议用户立即更新以防止被劫持。 综合评分： 88 文章分类： 漏洞预警,AI安全,应用安全,数据安全

ClawJacked 攻击使恶意网站能够劫持 OpenClaw 窃取数据

独眼情报

2026年3月2日 11:52 湖北

OpenClaw

安全研究人员披露了流行的 AI 代理 OpenClaw 中一个名为“ClawJacked”的高危漏洞，该漏洞允许恶意网站悄无声息地暴力破解对本地运行实例的访问权限并控制它。

Oasis Security 发现了该问题并向 OpenClaw 报告，OpenClaw 于 2 月 26 日发布了 2026.2.26 版本修复了该问题。

OpenClaw 是一个自托管的 AI 平台，最近因其能够让 AI 代理自主发送消息、执行命令和管理跨多个平台的任务而迅速走红。

据 Oasis Security 称，该漏洞是由 OpenClaw 网关服务默认绑定到 localhost 并暴露 WebSocket 接口引起的。

由于浏览器跨域策略不会阻止 WebSocket 连接到 localhost，因此 OpenClaw 用户访问的恶意网站可以使用 JavaScript 静默地打开与本地网关的连接并尝试进行身份验证，而不会触发任何警告。

虽然 OpenClaw 包含速率限制以防止暴力破解攻击，但默认情况下回环地址 (127.0.0.1) 不受限制，因此本地 CLI 会话不会被错误地锁定。

研究人员发现，他们可以以每秒数百次的尝试速度暴力破解 OpenClaw 的管理密码，而不会限制或记录失败的尝试。一旦猜中正确的密码，攻击者就可以静默地注册为受信任设备，因为网关会自动批准来自本地主机的设备配对，而无需用户确认。

Oasis 解释说： “在我们的实验室测试中，仅通过浏览器 JavaScript，我们就实现了每秒数百次的持续密码猜测 。”

“以这样的速度，常用密码列表不到一秒钟就会被破解，而大型密码字典也只需几分钟。人为选择的密码根本没有机会被破解。”

通过身份验证会话和管理员权限，攻击者现在可以直接与 AI 平台交互，转储凭据、列出连接的节点、窃取凭据和读取应用程序日志。

Oasis 表示，这可能使攻击者能够指示代理搜索消息历史记录中的敏感信息、从连接的设备中窃取文件，或在配对节点上执行任意 shell 命令，从而有效地导致从浏览器标签页触发的整个工作站被攻破。

Oasis 分享了此攻击的演示，展示了如何利用 OpenClaw 漏洞窃取敏感数据。

Oasis 向 OpenClaw 报告了该问题，包括技术细节和概念验证代码，该问题在披露后 24 小时内得到修复。

该修复程序加强了 WebSocket 安全检查，并增加了额外的保护措施，以防止攻击者滥用 localhost 回环连接进行暴力破解登录或劫持会话，即使这些连接配置为不受速率限制。

运行 OpenClaw 的组织和开发人员应立即更新到 2026.2.26 或更高版本，以防止其安装被劫持。

由于 OpenClaw 非常受欢迎，安全研究人员一直致力于识别针对该平台的漏洞和攻击。

有威胁行为者被发现滥用“ClawHub”OpenClaw 技能库来推广恶意技能，这些技能会部署窃取信息的恶意软件或诱骗用户在其设备上运行恶意命令。

参考： https://www.oasis.security/blog/openclaw-vulnerability https://www.bleepingcomputer.com/news/security/clawjacked-attack-let-malicious-websites-hijack-openclaw-to-steal-data/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 《ClawJacked 攻击使恶意网站能够劫持 OpenClaw 窃取数据》