文章总结： OasisSecurity披露热门AI代理OpenClaw存在零点击劫持漏洞，开发者仅浏览恶意网页即可被夺取设备全权限。攻击利用WebSocket网关无速率限制与自动配对机制暴力破解密码，源于对本地连接安全的错误假设。建议立即更新至2026.2.25及以上版本，排查实例并审计凭证权限，建立严格管理制度。 综合评分： 91 文章分类： 漏洞预警,漏洞分析,AI安全,应急响应

别乱开网页！热门 AI 代理 OpenClaw 被曝可被一键劫持

看雪学苑 看雪学苑

看雪学苑

2026年3月3日 17:59 上海

Oasis Security披露热门开源AI代理框架OpenClaw漏洞——无需用户操作，仅浏览恶意网页，攻击者即可悄无声息掌控开发者AI助手，获取设备全权限。

OpenClaw曾用名Clawdbot、MoltBot，2026年快速走红，上线5天斩获GitHub 10万+星标，成为全球数千开发者的默认个人AI助手。

与在线AI工具不同，OpenClaw本地运行，核心是WebSocket网关，可联动聊天软件、开发工具及本地文件，执行自动化操作，其广泛访问权限让漏洞危害大幅提升。

无需点击！一个网页就能劫持AI助手

此次为“零点击”漏洞，开发者无需下载插件，仅用浏览器打开恶意或被篡改网页，即可触发攻击。

Oasis Security还原攻击链路，过程隐蔽高效：

1. 开发者用浏览器访问攻击者控制的网页；

2. 网页JS脚本自动向本地OpenClaw网关发起WebSocket连接，浏览器不拦截本地回环地址跨域连接；

3. 脚本以每秒数百次暴力破解网关密码，本地连接无速率限制，失败不计数、不记录；

4. 破解后脚本自动注册为可信设备，网关默认通过本地配对请求，无需用户确认；

5. 攻击者获取AI助手管理员全权限，实现完全控制。

漏洞根源是三大设计误区：默认本地连接安全、认为浏览器无法访问本地服务、本地连接无速率限制，均与现代浏览器环境不符。

危害堪比整机入侵，开发者需高度警惕

AI助手被劫持后，攻击者可检索API密钥、读取私人消息、窃取文件，甚至执行任意系统命令。

对开发者而言，这相当于通过浏览器标签入侵整机，且全程无提示、难察觉。Oasis Security已完成攻击演示，成功破解并操控AI助手。

紧急处置方案，开发者速看！

OpenClaw团队将其列为高危漏洞，24小时内推出补丁。开发者需立即采取以下措施：

• 更新至OpenClaw 2026.2.25及以上版本；

• 排查所有开发者设备上的OpenClaw实例，含未登记版本；

• 审计并撤销AI助手不必要的凭证、密钥及权限；

• 建立AI代理管理制度，与员工账号同等管控。

资讯来源：Oasis Security 漏洞披露报告

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《别乱开网页！热门 AI 代理 OpenClaw 被曝可被一键劫持》