ClawJacked 曝光：恶意网站如何几秒内劫持 OpenClaw 本地 AI 代理

关键要点

• ClawJacked 是 OpenClaw 网关中的高危漏洞，允许恶意网站通过 localhost WebSocket 以每秒数百次速度暴力破解密码并获得完整控制权。
• 无需安装插件、扩展或用户提示，攻击者即可获得管理员权限，可与 AI 代理交互、导出配置、枚举节点并执行命令。
• 漏洞根源在于对 localhost 的信任假设、本地连接无速率限制以及自动设备批准机制。
• OpenClaw 已于 2026.2.25 版本（披露后 24 小时内发布）完成修复，所有用户必须立即升级。
• 修复后，本地 AI 代理如何防御浏览器跨域攻击的经验教训适用于整个行业。

什么是 OpenClaw？

OpenClaw 是一款开源、自托管的 AI 代理框架，可作为个人助手在开发者本地机器上运行。它支持与 WhatsApp、Telegram、Slack、Discord 等消息平台集成，管理日历、执行 Shell 命令，并利用连接的大型语言模型实现工作流自动化。

其核心架构围绕 网关（本地 WebSocket 服务器）和多个 节点（如 macOS 应用或其他设备）展开，节点可注册文件访问或系统执行等能力。用户通过网页仪表盘或终端进行交互，使其功能强大却深度集成到本地系统。

GitHub 星标迅速突破 10 万，彰显其受欢迎度，但也暴露了影子 AI 部署中缺乏集中管控的风险。

ClawJacked 漏洞详解

Oasis Security 的安全分析将 ClawJacked 定性为网站到本地代理接管的漏洞链。与通过社区技能的供应链攻击不同，该漏洞存在于核心网关本身。

网关默认绑定 localhost，并依赖密码或令牌认证。受控测试基准显示，浏览器 JavaScript 可绕过跨域限制建立到该端口的 WebSocket 连接（不同于标准 HTTP 请求）。

社区反馈和实际漏洞演示证实攻击隐蔽性极高：受害者毫无察觉，攻击者已取得完全控制。

ClawJacked 攻击完整流程

攻击在受害者浏览器中无声进行：

1. 访问恶意网站：用户打开攻击者控制或被入侵的任意网站。
2. 建立 WebSocket 连接：嵌入的 JavaScript 直接连接 localhost OpenClaw 网关端口（浏览器对回环地址允许此操作）。
3. 暴力破解密码：本地连接无速率限制和失败日志记录，每秒可尝试数百次。常见或字典密码几秒至几分钟内即可破解。
4. 自动设备注册：网关对来自 localhost 的配对自动批准，无需任何提示。
5. 全面接管：认证会话允许向 AI 代理注入消息、导出配置、枚举节点、读取日志，并在所有连接设备上执行命令。

典型的浏览器 JavaScript 概念验证代码即可实现持续暴力破解及后续代理交互，整个过程用户毫无感知。

技术深度剖析：为何 localhost WebSocket 安全失效

分析表明根本原因在于信任模型不匹配：

• 浏览器行为：WebSocket 对 localhost 不受同源策略限制，任何标签页脚本均可连接。
• 网关假设：本地连接被视为“天生可信”，豁免速率限制并允许静默批准。该设计本为 CLI 或伴侣应用考虑，却忽略了 adversarial 浏览器环境。
• 认证缺陷：密码认证缺乏针对回环地址的节流机制，即使强密码在大规模尝试下也极易被攻破。

边缘场景进一步放大风险：

• 多节点部署暴露更多设备用于枚举与执行。
• 持久化网关会话允许通过 AI 代理长期数据外泄（例如查询 Slack 获取密钥）。
• 开发者同时运行 OpenClaw 与大量浏览器工作流时，暴露面显著增加。

这与历史 localhost 漏洞类似，但在代理式 AI 场景中更为突出——代理拥有比传统服务器更广泛的系统权限。

潜在影响与真实风险

ClawJacked 成功攻击等同于工作站全面沦陷：

• 数据窃取：AI 提供商密钥、消息历史、节点配置全部可被导出。
• 代理操控：指示 AI 执行恶意任务，如发送邮件或运行 Shell 命令。
• 横向渗透：控制配对节点获取摄像头、联系人或文件读取权限。

在开发者环境中，可能导致 API 密钥泄露、知识产权外泄甚至成为勒索软件入口。更广泛的生态问题在于未被监控的影子 AI 实例会放大组织安全盲区。

与恶意 ClawHub 技能或早期令牌泄露 CVE 相比，ClawJacked “零交互”特性使其危害程度尤为严重。

OpenClaw 官方响应与修复方案

OpenClaw 将 ClawJacked 定为高危漏洞，并在 24 小时内完成修复。2026.2.25 版本（及后续更新）新增 WebSocket 安全检查、对 localhost 强制速率限制，并阻止来自浏览器跨域上下文的自动批准。

此次响应体现了负责任披露的优秀实践。截至 2026 年 3 月，所有已打补丁版本已彻底消除暴力破解向量，同时保留核心功能。

保护 OpenClaw 的最佳实践

立即行动：

• 将所有实例升级至最新版（2026.2.25 或更高）。
• 重启网关并通过 CLI 或仪表盘验证版本。

高级配置建议：

• 优先使用令牌认证而非密码，并定期轮换令牌。
• 将网关绑定到特定网络接口，或通过防火墙规则限制 localhost 暴露。
• 开启 WebSocket 连接日志，监控异常的浏览器源流量。
• 将 OpenClaw 节点置于沙箱或容器环境，限制命令执行范围。

组织级治理：

• 使用端点工具盘点所有本地 AI 代理。
• 审计集成并撤销不必要凭证。
• 对非人类身份采用零信任原则，将代理视为高权限实体。

常见陷阱避免：

• 不要认为 localhost 就等于安全——浏览器生态已打破这一假设。
• 多设备集群中切勿延迟更新。
• 不要未经验证就过度依赖社区技能。

本地 AI 代理安全的行业启示

ClawJacked 暴露了本地代理设计中的系统性问题：浏览器与本地信任鸿沟、快速迭代未跟上安全防护、WebSocket 网关需引入来源感知协议。

未来框架应强制实现跨域验证、自适应速率限制及形式化安全建模。开发者在构建代理时，必须将 localhost 加固与功能开发置于同等优先级。

总结

ClawJacked 漏洞虽暴露了 OpenClaw 架构的重大安全缺口，但官方快速修复与透明披露已有效阻止大规模利用。升级后，重点转向主动治理与强化配置。

立即审计您的 OpenClaw 安装，应用最新补丁，并严格执行上述安全实践，守护您的 AI 代理。保持警惕——本地自治必须配以本地级安全防护。

立即行动：通过官方渠道检查版本并升级，彻底消除 ClawJacked 风险。