ClawJacked 攻击曝光：恶意网站可秒破 OpenClaw 本地密码，劫持 AI 智能体窃取全站数据

广受欢迎的自托管 AI 智能体 OpenClaw 近日被披露存在一个高危漏洞，命名为 "ClawJacked"。该漏洞允许攻击者通过恶意网站，静默地对用户本地运行的 OpenClaw 实例进行暴力破解，进而获取完全控制权，窃取敏感数据甚至操控整个工作站。

安全公司 Oasis Security 发现了此问题并负责披露。OpenClaw 团队反应迅速，已于 2026 年 2 月 26 日 发布的 2026.2.26 版本中修复了该漏洞。

漏洞原理：被信任的“本地回环”成了后门

OpenClaw 因其强大的跨平台自主任务执行能力而备受青睐，但其架构设计中的一个假设成为了安全隐患：

1. 默认绑定本地主机：OpenClaw 的网关服务默认绑定在 localhost (127.0.0.1)，并暴露了一个 WebSocket 接口用于通信。
2. 浏览器策略豁免：浏览器的同源策略（SOP）通常阻止跨域请求，但不会阻止对本地主机（localhost）的 WebSocket 连接。这意味着，用户访问的任何恶意网站，都可以通过 JavaScript 悄悄尝试连接本地的 OpenClaw 服务。
3. 速率限制失效：为了防止暴力破解，OpenClaw 设有速率限制机制。然而，为了避免误伤本地 CLI 工具，回环地址 (127.0.0.1) 默认被豁免于速率限制之外。
4. 自动信任机制：一旦密码猜对，网关会自动将来自本地主机的连接批准为“受信设备”，无需用户二次确认。

攻击演示：每秒数百次的静默爆破

Oasis Security 的研究人员复现了攻击过程，结果令人咋舌：

• 无感连接：用户只需访问一个嵌入了恶意代码的网站，JavaScript 即可在后台静默打开与本地 OpenClaw 的 WebSocket 连接，无任何弹窗或警告。
• 高速爆破：由于绕过了速率限制，攻击者可以以每秒数百次的速度尝试密码。
  • 常见密码列表：可在 1 秒钟内 穷举完毕。
  • 大型字典：仅需 几分钟 即可遍历。
• 全面沦陷：一旦密码被猜中，攻击者立即获得管理员权限。

“人类选择的密码在这种速度下根本没有机会。” —— Oasis Security

潜在危害：从数据泄露到系统毁灭

一旦攻击者通过 ClawJacked 漏洞获得认证会话，后果将是灾难性的：

• 凭据窃取：直接转储存储在 OpenClaw 中的所有 API 密钥、数据库密码和其他敏感凭据。
• 隐私窥探：读取应用程序日志，搜索消息历史中的敏感信息（如私人对话、商业机密）。
• 文件盗窃：列出并下载连接节点上的任意文件。
• 远程命令执行 (RCE)：最危险的是，攻击者可指示 AI 智能体在配对的节点上执行任意 Shell 命令。这意味着，仅仅访问了一个恶意网页，攻击者就能通过 OpenClaw 代理，对你的整个工作站进行破坏、植入勒索软件或构建僵尸网络。

修复方案与紧急建议

OpenClaw 团队在收到报告后 24 小时内即发布了修复补丁。2026.2.26 及以上版本包含了以下关键改进：

• 加强 WebSocket 安全检查：引入更严格的源验证机制，防止未经授权的跨域连接。
• 本地回环保护：即使对于本地回环连接，也实施了针对暴力破解的额外保护措施，防止滥用豁免权。
• 会话劫持防御：增加了设备配对的确认机制或更复杂的令牌验证，避免自动信任带来的风险。

🚨 紧急行动指南

如果您正在运行 OpenClaw 实例，请立即执行以下操作：

1. 立即更新：将 OpenClaw 升级到 2026.2.26 或更高版本。
2. 修改密码：如果您怀疑在更新前可能已暴露，请立即更改管理密码，并检查是否有未知的受信设备。
3. 审查日志：检查应用程序日志，寻找异常的登录尝试或未知的命令执行记录。
4. 警惕钓鱼：近期已有威胁行为者利用 OpenClaw 的技能仓库 "ClawHub" 传播恶意技能包。请仅从官方或可信来源安装技能，避免运行不明脚本。