OpenClaw 漏洞：恶意网站可劫持 AI 代理

HackerNews 编译，转载请注明出处：

Oasis Security报告显示，OpenClaw AI助手存在漏洞，攻击者可通过诱导受害者访问恶意网站劫持AI代理。

该漏洞利用无需安装恶意扩展或用户交互，仅依赖OpenClaw自身功能即可成功。

OpenClaw作为自托管AI代理，运行本地WebSocket服务器作为网关，负责身份验证、代理编排、会话管理及配置存储。应用和设备以节点身份连接网关以暴露功能、执行命令和访问能力，身份验证通过令牌或密码完成。

Oasis指出："网关默认绑定localhost，基于本地访问天然可信的假设。正是这一假设导致了安全问题。"

该安全公司发现，当AI代理的网关绑定至localhost且受密码保护时，若开发者访问恶意网站，代理可能被劫持。

由于浏览器跨源策略未阻止对localhost的WebSocket连接，恶意网站上的JavaScript代码可使用代理端口打开此类连接。随后可暴力破解密码——localhost连接不受网关速率限制器约束——进而注册为可信设备，而来自localhost的设备配对会自动批准，无需用户确认。

Oasis说明："网关的速率限制器完全豁免回环连接，失败尝试不计数、不节流、不记录。实验室测试中，我们仅通过浏览器JavaScript就达到了每秒数百次密码猜测的持续速率。在此速度下，常见密码列表不到一秒即可穷举，大型字典也只需数分钟。"

一旦猜中密码，攻击者即可获得具有管理员权限的认证会话，完全控制OpenClaw。这使得攻击者可与代理交互、提取配置、枚举节点及读取日志。

Oasis表示："实践中，这意味着攻击者可指示代理搜索开发者的Slack历史获取API密钥、读取私信、从连接设备外泄文件，或在任何配对节点执行任意shell命令。对于具备典型OpenClaw集成的开发者而言，这相当于从浏览器标签页发起的工作站完全沦陷。"

OpenClaw安全团队在收到Oasis报告后24小时内修复了该漏洞，并将其归类为高危问题。建议用户更新至OpenClaw 2026.2.25或更高版本。

消息来源：securityweek.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文