文章总结： Oasis安全研究员披露AI代理OpenClaw的高危漏洞ClawJacked，因网关默认绑定本地且豁免速率限制，恶意网站可暴力破解密码劫持会话，导致凭据窃取或任意命令执行。厂商已发布2026.2.26版本修复，建议立即更新。 综合评分： 88 文章分类： 漏洞分析,AI安全,漏洞预警

ClawJacked 攻击可导致恶意网站劫持 OpenClaw 窃取数据

Lawrence Abrams Lawrence Abrams

代码卫士

2026年3月2日 18:47 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Oasis公司的安全研究员披露了热门AI代理 OpenClaw 中的一个高危漏洞，可导致恶意网站悄悄暴力访问并控制在本地运行的实例。OpenClaw 已在2026年2月26日发布2026.2.26版本予以修复。

OpenClaw 是一款自托管AI平台，最近因可使AI智能体自动发送信息、执行命令和管理多个平台的任务而备受关注。该漏洞由OpenClaw网关服务默认绑定到本地主机并暴露了一个WebSocket接口所导致。

由于浏览器的跨域策略不会阻止与本地主机的WebSocket连接，当OpenClaw用户访问恶意网站时，该网站便可利用JavaScript静默打开一个通往本地网关的连接并尝试进行身份验证，且不会触发任何警告。尽管OpenClaw设置了速率限制以防止暴力破解攻击，但回环地址（127.0.0.1）默认不受此限制，避免误将本地CLI会话锁定。

研究人员发现，他们可以以每秒数百次的速度暴力破解OpenClaw的管理密码，而这些失败的尝试既不会被限速，也不会被记录。一旦猜中正确密码，攻击者便可悄无声息地注册成为受信任设备，因为无需用户确认，网关就会自动批准来自本地主机的设备配对。研究人员解释道：“在我们的实验室测试中，仅通过浏览器JavaScript，我们就实现了每秒数百次密码猜测的持续速率。照此速度，一秒钟之内就能试完一个常见密码列表，而一个大型字典库也只需要几分钟。人为设置的密码根本无法抵挡。”

获得经过身份验证的会话和管理员权限后，攻击者现在可以直接与AI平台交互，转储凭据、列出已连接的节点、窃取凭据以及读取应用程序日志，从而导致攻击者指示智能体在消息历史记录中搜索敏感信息，从已连接的设备中窃取文件，或在配对的节点上执行任意Shell命令，最终可仅从一个浏览器标签页就能导致整个工作站被攻陷。研究人员还演示了如何通过OpenClaw漏洞窃取敏感数据。

研究人员向OpenClaw报告了该问题，并提供了技术细节和概念验证代码，该漏洞在披露后24小时内即被修复。修复方案加强了WebSocket的安全检查，并增加了额外的保护措施，以防止攻击者滥用本地主机的回环连接进行暴力破解登录或劫持会话——即使这些连接被配置为不受速率限制的豁免。运行OpenClaw的组织机构和开发者应立即更新至2026.2.26或更高版本，以防止其安装的实例被劫持。

随着OpenClaw的广泛流行，安全研究人员一直专注于识别针对该平台的漏洞和攻击。已有威胁行为者被指滥用”ClawHub” OpenClaw技能仓库，推广恶意技能，部署信息窃取型恶意软件，或诱骗用户在其设备上运行恶意命令。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

AI 编程助手 Cline CLI 2.3.0遭篡改，悄悄安装 OpenClaw

AI 助手OpenClaw 易遭一次点击 RCE 攻击

Apache Syncope 漏洞可用于劫持用户会话

SmarterMail 认证绕过新漏洞被用于劫持管理员账号

原文链接

https://www.bleepingcomputer.com/news/security/clawjacked-attack-let-malicious-websites-hijack-openclaw-to-steal-data/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Lawrence Abrams Lawrence Abrams《ClawJacked 攻击可导致恶意网站劫持 OpenClaw 窃取数据》