文章总结： OpenClawAI工具爆出ClawJacked高危漏洞，攻击者诱导用户访问恶意网站即可通过WebSocket接管本地代理。因默认信任本地连接且无速率限制，攻击者能暴力破解密码窃取数据。官方已发布补丁，建议立即升级至新版。专家强调需摒弃本地即安全的误区，将具备高权限的AI代理纳入零信任架构进行严格身份管理。 综合评分： 80 文章分类： 漏洞预警,AI安全,漏洞分析,安全建设

【安全圈】ClawJacked 漏洞曝光：网站可远程劫持 OpenClaw AI 代理，开发者需立即升级

安全圈

2026年2月28日 19:02 美国

关键词

安全漏洞

近期爆红的开发者 AI 工具 OpenClaw 因严重安全漏洞引发关注。由 Oasis Security 披露的 ClawJacked（CVE-2026-25253）漏洞链显示，攻击者只需诱导用户访问恶意网站，即可通过 WebSocket 机制悄无声息地接管本地运行的 AI 代理。问题核心在于 OpenClaw 默认信任来自 localhost 的连接，未对本地请求进行严格校验，导致恶意网页脚本可直接与后台 AI 工具通信。

研究人员演示的 PoC 表明，攻击者可以在用户毫无察觉的情况下暴力猜测密码。由于系统未限制本地连接的尝试次数，脚本每秒可尝试数百次密码组合，成功后即可获得管理员权限，读取 Slack 私信、窃取 API Key，甚至指挥 AI 搜索并外传本地文件。

所幸，OpenClaw 团队在接到通报后 24 小时内发布修复版本，官方建议用户立即升级至 2026.2.25 或更高版本。值得注意的是，此前其社区市场还曾出现超过 1000 个恶意技能，显示攻击者已将 AI 代理生态作为重点目标。

多位安全专家指出，这一事件暴露出“本地即安全”的错误信任模型。AI 代理具备与用户等同甚至更高的权限，应被视为高权限身份主体纳入零信任架构与身份安全体系管理。随着 AI 代理深度嵌入开发与办公流程，安全设计必须与功能扩张同步推进，否则一次劫持便可能造成全面数据泄露。

END

阅读推荐

【安全圈】Python 热门 ORM 爆出 9.8 分致命漏洞，数据库或被完全读取

【安全圈】罗马尼亚黑客被引渡至美国，承认入侵俄勒冈州政府网络并实施身份盗窃

【安全圈】微软披露新型木马攻击：伪装游戏工具植入RAT，远程窃取数据

【安全圈】新型安卓RAT“Oblivion”曝光：$300即可买断，自动绕过权限与隐藏远程控制

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】ClawJacked 漏洞曝光：网站可远程劫持 OpenClaw AI 代理，开发者需立即升级》