文章总结： 本文分析了OpenClawAIAgent平台的三大高危漏洞：ClawJacked利用WebSocket协议特性和对localhost的盲目信任实现设备接管；日志投毒通过向暴露端口注入恶意payload引发间接指令注入；供应链投毒在技能市场安插恶意Skill。文章揭示了AIAgent在信任模型、权限管理和供应链安全方面的架构缺陷，并提出了环境隔离、最小特权原则和版本更新等具体防护建议，强调将AIAgent视为不可信代码执行环境。 综合评分： 92 文章分类： 漏洞分析,AI安全,安全建设,供应链安全,应用安全

从 WebSocket 劫持到间接指令注入：OpenClaw 连环漏洞背后的架构反思

原创

Hankzheng Hankzheng

技术修道场

2026年3月3日 08:05 广东

我最近在复盘 2026 年初的几个高危漏洞时，发现 OpenClaw 的一系列暴雷事件非常有代表性。尤其是那个代号为 “ClawJacked” 的漏洞，简直是把“信任模型”按在地上摩擦。

很多兄弟觉得，我把 AI Agent 部署在本地 localhost，又不出外网，肯定稳如老狗。但现实是，黑客只需要诱导你访问一个网页，就能隔空接管你的机器。今天咱们就从协议底层和架构逻辑出发，把这个“连环坑”拆解清楚。

一、 ClawJacked：被无视的 WebSocket “信任危机”

这个漏洞最核心的痛点在于：我们对 localhost 的盲目信任。

1. 协议维度的“降维打击” 大家都知道浏览器有同源策略（SOP），但这个堡垒在 WebSocket 面前是有缝隙的。传统的跨域 HTTP 请求会被浏览器拦截，但 WebSocket 的握手过程并不受 SOP 的严格约束。攻击者只需要在恶意网页里塞一段简单的 JS，就能悄悄向你本地 127.0.0.1 的 OpenClaw 网关端口发起连接。

2. 消失的速率限制（Rate-Limiting） OpenClaw 的默认配置中，网关对本地连接极其“宽容”。黑客利用暴力破解脚本，在没有任何限制的情况下，可以在几秒钟内“盲猜”出你的网关密码。只要密码一破，大门也就开了。

3. “本地即信任”的架构陷阱 这是最令我窒息的逻辑：OpenClaw 默认会静默批准来自 localhost 的新设备注册。正常情况下，新设备接入需要用户手动确认配对。但在 ClawJacked 攻击场景下，只要验证通过，网关会直接将其视为“受信任设备”。

后果：

你只是在摸鱼时点开了一个网页，网页后台就悄悄在你本地 Agent 里塞进了一个具有管理权限的“隐形设备”，接管了所有的配置、日志和节点控制权。

二、 骚操作：日志投毒引发的“间接指令注入”

如果说 ClawJacked 是暴力破门，那 日志投毒（Log Poisoning） 就是更高阶的“思想控制”。

OpenClaw 为了方便排错，设计了一个非常 AI 的特性：Agent 会主动读取自身的运行日志来辅助 Troubleshooting。但这却成了黑客的突破口。

• 注入路径：

  攻击者通过向公网暴露的 18789 端口发送特定的请求，将恶意 Payload 强行写入系统日志文件。

• 逻辑劫持：

  当 Agent 扫描日志时，由于它无法分辨这是“系统记录”还是“外部注入的指令”，它会将这些恶意内容当成操作建议。

这种 间接指令注入（Indirect Prompt Injection） 不会立刻导致 RCE，但它能引导 Agent 泄露环境变量、修改敏感配置，甚至诱导它去访问黑客控制的恶意资源。这种“慢性中毒”往往比直接攻击更难察觉。

三、 供应链投毒：ClawHub 已成重灾区

现在的黑客越来越懂“降本增效”了。他们不再费劲钻研复杂的 0-day，而是直接在 ClawHub（技能市场） 里安插“卧底”。

最近爆火的恶意 Skill（如 bob-p2p-beta），表面上是一个无害的工具，甚至能绕过 VirusTotal 的静态扫描。黑客甚至利用 Moltbook（AI 社交网络）进行社工：通过 AI 账号向其他开发者的 Agent 推荐这些带毒的 Skill。一旦安装，Agent 就会自动在你的本地终端执行远程载荷。这本质上是利用 AI 的执行逻辑，在你的开发环境里完成了一次完美的供应链 RCE。

四、 “生存建议”

面对 AI Agent 这种“权限极大”的工具，我们必须改变运行思路。微软 Defender 团队的建议非常直白：OpenClaw 应被视为“不可信代码执行环境”。

1. 环境隔离是底线：

   强烈建议将 Agent 扔进完全隔离的 虚拟机（VM） 或严加限制的容器中，千万别直接在生产宿主机上跑。

2. 最小特权原则：

   严格审计 Agent 的权限。它真的需要读取你的 .bash_history 吗？真的需要访问你的密码管理器吗？能不给的权限坚决不给。

3. 版本红线：

   检查你的版本号。OpenClaw 已在 2026.2.25 版本修复了 ClawJacked 漏洞，低于这个版本的全是靶子，赶紧更新！

总结一下： AI Agent 越强，它能撬动的“杠杆”也就越大。作为工程师，我们对新技术的“敬畏之心”不应止于代码，更应止于安全边界。

大家最近在本地玩 AI Agent 时，有没有遇到过什么奇怪的日志报错或者异常连接？

欢迎在评论区交流避坑经验！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《从 WebSocket 劫持到间接指令注入：OpenClaw 连环漏洞背后的架构反思》