关键词
安全漏洞
开源AI代理框架OpenClaw近日被披露存在一项“零点击”高危漏洞,研究人员指出,攻击者只需诱导开发者访问一个恶意网站,即可在无插件、无扩展、无交互的情况下,直接劫持其本地运行的AI代理,实现接近整机控制级别的权限获取。该漏洞由Oasis Security发现,影响范围随着OpenClaw在开发者群体中的快速普及而被进一步放大。
OpenClaw是一款自托管AI代理工具,运行在开发者本地电脑上,可连接Slack、日历、开发工具及本地文件系统,并根据指令执行自动化操作。其核心通过绑定在localhost上的WebSocket网关进行调度,不同“节点”设备可注册到该网关,获得执行系统命令、读取文件、访问通讯录等能力。问题恰恰出在这一“默认信任本地连接”的设计假设上。
攻击链的触发条件极其简单:开发者在浏览器中访问攻击者控制的网站。页面中的JavaScript脚本即可向本地OpenClaw网关发起WebSocket连接。由于现代浏览器并不会阻止跨源脚本访问回环地址,攻击脚本得以直接与本地服务通信。更严重的是,OpenClaw对来自localhost的连接未实施有效限速与失败计数,攻击者可以每秒数百次暴力猜测网关密码而不会被锁定或记录。一旦密码被破解,脚本即可自动注册为“受信设备”,系统默认批准来自本地的配对请求,无需用户确认。
完成认证后,攻击者获得管理员级控制权限,可向AI代理下达指令,例如搜索Slack历史记录中的API密钥、读取私密消息、提取本地文件,甚至执行任意Shell命令。研究人员的概念验证显示,整个过程对受害者完全无感知,仅需一个浏览器标签页即可完成完整接管。
漏洞根源在于三项错误假设的叠加:认为localhost天然安全、认为浏览器无法访问本地服务、认为回环地址无需限速控制。在现代Web环境下,这些前提均已不成立。研究团队完成负责任披露后,OpenClaw项目方在24小时内发布修复版本,将该问题列为高危漏洞。
官方建议所有用户立即升级至2026.2.25或更高版本,并全面盘点组织内开发者终端上的OpenClaw实例,包括未纳入IT管理视野的“影子部署”。同时,应撤销不必要的API密钥与节点权限,将AI代理视为具备独立身份与高权限的系统实体,纳入统一身份与访问管理框架之中。
此次事件再次表明,随着AI代理逐步具备跨应用、跨系统的自动执行能力,其安全边界已远超传统插件或脚本工具。一旦设计中的信任模型出现偏差,风险规模将迅速放大。对企业而言,AI代理不再只是效率工具,而是必须纳入核心安全治理体系的高权限数字身份。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴