文章总结： OpenClawAI个人助理存在名为ClawJacked的严重漏洞，恶意网站可利用WebSocket静默劫持本地AI代理。漏洞源于网关对本地连接的固有信任，攻击者可暴力破解密码并完全控制系统。OasisSecurity建议用户立即升级至2026.2.25或更高版本，组织应清查AI工具使用情况，审核代理权限并建立非人类身份治理机制。该事件凸显AI代理发展速度超过安全防护的行业问题。 综合评分： 78 文章分类： 漏洞分析,漏洞预警,AI安全,安全建设

OpenClaw 最新漏洞可能导致恶意网站劫持本地 AI 代理

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年3月3日 09:02 湖北

导读

OpenClaw AI 个人助理的漏洞和其他安全问题清单在短短几周内迅速增长，导致该工具虽然在开发者和其他用户中广受欢迎，但安全研究人员却认为它存在重大风险。

两位思科分析师表示：“从功能角度来看，OpenClaw 具有突破性意义。这正是个人人工智能助手开发者一直以来梦寐以求实现的。但从安全角度来看，它简直是一场噩梦。”

它是一款自托管的人工智能代理，集成了 WhatsApp、Telegram、Discord 等应用程序，可用于各种用途，包括总结对话、安排会议、执行代码、管理日历和预订航班。用户可以通过网页控制面板或终端与其交互。

Gartner分析师称该代理的安全风险“不可接受”，并指出其设计“默认不安全”。危险之处在于OpenClaw高度自主，其设计注重功能而非安全性，并且通常拥有完整的系统权限。

它可以访问敏感数据，与不受信任的内容交互，并且可以通过诸如编写和发送电子邮件以及在社交媒体上发布消息等操作，在用户系统之外执行任务。

Oasis Security 的研究人员表示：“对于许多组织而言，OpenClaw 安装代表了一种日益增长的影子人工智能类别：开发人员采用的工具在 IT 部门的可见范围之外运行，通常可以广泛访问本地系统和凭证，并且没有集中管理。”

ClawJacked漏洞

Oasis 发布了一份报告，进一步加剧了与 OpenClaw 相关的安全隐患。报告指出，他们发现的一个名为“ClawJacked”的漏洞，允许任何网站在无需插件、扩展程序或用户交互的情况下，静默完全控制开发者的 AI 代理。Oasis 敦促 OpenClaw 用户立即升级到 2026.2.25 或更高版本，因为最新版本已修复了此漏洞。

OpenClaw 安全团队在接到漏洞通知后 24 小时内就开发出修复程序。

他们发现的威胁与其他安全问题不同，其他安全问题包括研究人员在 OpenClaw 的 ClawHub 市场中发现数千个恶意技能、OpenClaw 实例连接到互联网、日志投毒漏洞以及用于传播恶意软件的 AI 工具。

“固有信任”加剧了风险

Oasis 发现的风险在于 OpenClaw 的网关（一个处理身份验证、管理聊天会话、存储配置和协调代理的本地 WebSocket 服务器）对本地发起的连接所固有的信任，研究人员在报告中写道。

他们写道：“从预期的使用场景来看，这很合理——像命令行界面 (CLI)、macOS 伴侣应用或 Web 控制面板这样的本地工具都是从本地主机 (localhost) 连接的。但设计者可能没有考虑到这种情况：一个由攻击者控制的第三方网站，其代码也在浏览器中运行，并且在连接上下文中源自本地主机。这种错置的信任会造成实际的后果。”

OpenClaw 不仅包含网关，还连接到节点，“这些节点可以是 macOS 伴侣应用、iOS 设备或其他机器。节点向网关注册并公开功能，例如运行系统命令、访问摄像头、读取联系人等等。”

他们写道：“网关默认绑定到本地主机，其依据是本地访问本质上是可信的。而问题就出在这个假设上。”

沉默的妥协

问题在于用户访问恶意网站时。借助 WebSocket，任何网站都可以建立与本地主机的连接，而浏览器不会阻止这种连接。页面上运行的 JavaScript 代码可以在用户不知情的情况下，静默地建立与用户 OpenClaw 网关的连接。

该恶意脚本能够以每秒数百次的尝试速度暴力破解网关密码，因为限制尝试次数的功能会豁免本地主机连接。一旦通过身份验证，该脚本就会静默注册为受信任设备，网关会自动批准来自本地主机的设备配对，而无需用户提示。

研究人员写道：“攻击者随后便拥有了完全控制权。他们可以与人工智能代理交互，导出配置数据，枚举已连接的设备，并读取日志。”

该如何应对

除了更新最新版本的 OpenClaw 之外，各组织还需要清点开发人员正在使用的 AI 助手和代理，审查授予代理的访问权限，审核每个 OpenClaw 实例的凭证和功能，并为非人类身份创建治理机制。

他们写道：“人工智能代理是组织中一种新型的身份标识——它们可以进行身份验证、持有凭证并自主执行操作。它们需要像人类用户和服务帐户一样受到严格的管理。……随着人工智能代理成为每个开发人员工作流程中的标准工具，问题不再是是否采用它们，而是能否有效管理它们。”

实用性领先于安全性

ClawJacked 凸显了人工智能和智能体的发展速度超过其安全性而持续存在的问题。

Cequence Security 的首席信息安全官 Randolph Barr 表示：“最引人注目的是，产品实用性的提升速度明显快于安全性的提升。设计重点在于通过本地绑定、自动设备配对以及减少连接障碍，尽可能地提升开发者的体验。这加快了产品的普及速度，但也降低了防御措施的有效性。”

Sectigo 高级研究员 Jason Soroko 表示：“本地托管的 AI 代理的爆炸范围之广，使这次事件从例行修补升级为行业警告。我们正在暴露那些被赋予访问本地文件系统、凭证存储和企业基础设施权限的自主工作流引擎。浏览器已被武器化，可以绕过开发者的物理边界，将一个简单的后台标签页变成有效的开锁工具。”

新闻链接：

Latest OpenClaw Flaw Can Let Malicious Websites Hijack Local AI Agents

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《OpenClaw 最新漏洞可能导致恶意网站劫持本地 AI 代理》